電子書籍の販売を行っている「幻冬舎plus」が不正アクセスを受け、一部会員情報が外部へ流出した可能性があると、同サイトを運営する株式会社幻冬舎が平成30年1月15日に発表しました。2017年12月27日にウェブサイトの会員から、会員登録の際に入力したメールアドレス宛にフィッシングメールが届いたとの報告があり、サーバーログ等の調査を開始し発覚したとのことです。
2013年11月12日から2017年8月18日の期間内に会員登録した、最大93,014名の方の、メールアドレス、ユーザーID、お名前(読み仮名含む)
株式会社幻冬舎がシステム開発およびサーバー管理を委託している外部の協力会社が2017年3月30日に実施したシステムのバージョンアップの際に、脆弱性が発生したとのことです。
2017年8月18日にウェブサイトのパフォーマンス低下を検知し、調査した際に脆弱性が発見され、即時対策が施されたものの、その際に脆弱性が発生した期間に対しての協力会社による不正アクセスの調査が当時実施されず、その時点では不正アクセスが認識できておりませんでした。今回の調査で改めてサーバーのログを解析したところ、サーバーのログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認められました。これより前の期間はサーバーのログが保存されていないため不正アクセスがあったかどうか不明ですが、この脆弱性を意図的に利用すると前項に記載した会員情報(メールアドレス・お名前<読み仮名含む>)が不正に取得できる状況でした。
会員情報の流出の可能性がある方への、お詫びと注意喚起を個別にメールで連絡、窓口の設置
・脆弱性を突かれた不正アクセスが起きないように定期的に脆弱性診断を行っています。
・不正アクセスにすぐに気が付く為に、中小企業情報セキュリティ.COMが監視をします。