登録会員限定記事 現在はどなたでも閲覧可能です
三菱地所・サイモンは2018年6月7日、同社が運営するショッピングモール「プレミアム・アウトレット」の会員情報が流出した事件のセキュリティ会社による調査結果を明らかにした。登録済みの会員データのメールアドレスとパスワードに一致した24万件、メールアドレスのみ一致した3万件のほか、ユーザー認証時にエラーになったIDとパスワードの組み合わせも流出していると認めた。
調査のために臨時ホームページを表示するプレミアム・アウトレットのWebサイト
(出所:三菱地所・サイモン)
[画像のクリックで拡大表示]
同社は、プレミアム・アウトレットの会員情報が流出している可能性があると発表した4月7日から調査を開始し、ネット上の5カ所で会員情報が公開されていることを確認。すべて同一のデータだったという。
漏洩データに含まれていた情報は、会員システムで管理していた会員データとエラーデータの一部に含まれるメールアドレスとパスワード。同社は、ユーザーが認証時に入力してエラーになったIDとパスワードの組み合わせをエラーデータとして保存していた。また、会員データとエラーデータに含まれていないデータも含まれていたが、「当社から流出したかどうかは判別できない」(広報)としている。
セキュリティ会社の調査によれば、漏洩原因はWebサーバーが抱えてたSQLインジェクションの脆弱性。2017年5月から2018年1月までの間に、複数回のSQLインジェクション攻撃を受けて漏洩したという。会員データとエラーデータに含まれるパスワードはハッシュ化などの処理をしていなかった。
同社は、公開されている漏洩データの削除をJPCERTコーディネーションセンター(JPCERT/CC)に依頼。会員サービス再開の有無については、十分な安全性の検証をはかったうえで検討するとしている。
