サンリオタウン、330万人分の会員情報が外部アクセス可能に

この記事は約 4 分で読めます。


画像:サンリオタウンHPより

ハローキティなどのキャラクターで知られるサンリオのファン向けコミュニティサイトである「サンリオタウン(Sanrio Town)」

2015年12月、このサイトから最大330万人分の個人情報がインターネット上で閲覧可能になっていたことが明らかとなりました。

事件の経緯

サンリオタウンを運営する米Sanrio Digitalによると、今回の事件はセキュリティリサーチャーのChris Vickery氏の発見と公表から発覚したものとなっています。

具体的な経緯は以下のようになっています。

2015年12月19日 Chris Vickery氏によってサンリオタウンの個人情報が第三者によってアクセス可能になっていることを公表
→同社はこれを受けて調査を実施した結果、実際に以下を確認
・個人情報がアクセス可能になっていること
・会員のパスワードは安全な状態で保持されていること
2015年12月22日 同社により、事件の詳細と問題への対処を行ったとのプレスリリースあり

サンリオタウンでは調査の結果を報告書として公表するとともに、その中に対応についても記載を行っています。

事件の原因(問題点)

Sanrio Digitalによると事件の原因は、サンリオタウンを運営するサーバーの設定ミスにあったとのことです。
サーバーの設定ミスによりサンリオタウンを運営するサーバーのIPアドレスさえ知っていれば、誰でもサーバー上に存在する個人情報を閲覧できる状態になっていたのです。

本来であれば、こうしたWebサーバーのような外部からのアクセスを受けるシステムには、設計段階からの外部からの侵入を防ぐような高いレベルのセキュリティ設定と、脆弱性が存在しないかどうかの常日頃からのチェックが必要です。

しかし、今回の事件はそれが出来ていなかったがために発生してしまいました。

まとめると、今回の事件の発生要因は以下の二点となります。

  1. サーバーの設定ミスにより情報が閲覧できる状態になっていた
  2. 日常的な脆弱性のチェックが出来ていなかった

漏洩した情報は何か

Sanrio Digitalによれば、今回漏えいしたのはサンリオタウン会員の以下の個人情報です。

  • 氏名
  • 生年月日(エンコード化)
  • 性別
  • 国名
  • メールアドレス
  • パスワード(SHA-1ハッシュでエンコード化)
  • パスワードのヒント設定

実際にはパスワードは読める形にはなっておらず、また解読された形跡はないとのことです。
また今回、閲覧できるようになっていた情報の中にはクレジットカードや、その他の支払いに関する情報は含まれていないとのことです。

事件後の対応はどうだったのか

Sanrio Digitalは今回の事件で、12月19日のChris Vickery氏による発見と公表に基づいて、迅速に調査を行って、その結果を22日付けの文書で公表しています。

同社の対応のポイントは以下の3つとなります。

  1. サーバーの設定ミスの修正と脆弱性への対処
  2. サーバーへのセキュリティ強化システムの導入
  3. 被害者への説明とパスワード変更の要請

まとめ(筆者所感)

今回のサンリオタウンで会員情報がインターネット上で閲覧出来るようになっていた事件では、発覚後のSanrio Digital社の対応は非常に迅速なものであり、高く評価できると思います。

事件の原因は、サーバーの設定ミスと脆弱性によるものであり、同社はこれに対して迅速な対応を行って問題を解決しています。

ただし、以下の2点について疑問が残ります。

  • 外部のセキュリティ専門家が発見するまで、なぜ気づけないのか
  • 被害者への補償は十分行えているのか

12月19日のChris Vickery氏による発見と公表があるまで、少なくとも報告書を読み限りでは同社は問題を把握していませんでした。

しかし、本来は運営側の同社は自分で問題に気づく必要があります。
また、設定ミスや脆弱性の問題はシステム構築時にセキュリティ試験を実施することや、日々のセキュリティパッチ適用など適切な運用を行っていれば解消されるはずのものです。

事件が起こってから対応する同社については、やはりセキュリティへの認識が甘かったと言わざるを得ません。

また、同社の報告書を読む限りでは、被害者へのパスワード変更などの要請については記述がありますが、補償については見当たりません。
被害者への謝罪と補償は企業としての信頼回復に大切なことだと考えるが、これについて同社はどのように考えているのか明確ではないのです。

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから