この記事は日経 xTECH登録会員限定ですが、2018年5月12日12時まではどなたでもご覧いただけます。
サブスクリプション型の販売管理システムを手がけるビープラッツは2018年5月10日、過去に運営していたソフトウエア販売サイト「LicenseStore」に登録されていたメールアドレスと、ハッシュ化されたパスワードの組み合わせが1764件流出していたと発表した。5月8日に把握したという。
担当者の氏名、会社名、部署名、電話番号などの個人情報の流出は確認していない。流出したパスワードは、「MD5」と呼ぶ方式で暗号化(ハッシュ化)され、128ビットの値に変換された状態だった。復号に必要な情報の流出した形跡は見つかっていない。流出したメールアドレスを使ってLicenseStoreに集中的にログインを試みた履歴もなかった。
流出したデータはインターネット上に公開されていた。2018年に入って、流出元のWebサイトごとに作成されたと思われる、メールアドレスとパスワードが記載されたテキストファイルが2800個も見つかっている。その中には、国内のサイトとみられるファイルが80個あり、その一つがLicenseStoreのファイルだった。
情報の流出を把握したビープラッツがセキュリティ会社と調査したところ、2014年ごろに複数回にわたって攻撃を受けた痕跡が見つかった。ビープラッツがLicenseStoreに採用した中国ShopexのEC(電子商取引)サイト構築ソフトの脆弱性を突かれたという。
ビープラッツは既にLicenseStoreのサービスを終了しており、現在はShopexのソフトウエアを利用していないという。1764件の該当者には、情報漏洩を知らせるメールを送信したとしている。
