「ディスクユニオン」 70万人余の会員の個人情報 漏えいか

CDやレコードなどの専門店を展開する「ディスクユニオン」は、運営する2つのオンラインショップに登録している70万人余りの会員のメールアドレスとパスワード、それに名前や住所などの個人情報が漏えいしたおそれがあると発表しました。

東京 千代田区に本社がある「ディスクユニオン」によりますと、漏えいしたおそれがあるのは、CDなどを販売する「diskunion.net」と、オーディオ機器などを販売する「audiounion.jp」の2つのオンラインショップのおよそ70万1000人分の会員情報です。

この会員情報には、名前や住所、電話番号のほか、メールアドレスや暗号化されていないパスワードなどが含まれていて、今月24日までに登録したすべての会員のものが対象だということです。

今月24日に外部からの指摘で情報が漏えいしている可能性があることに気付き、2つのオンラインショップを停止して不正アクセスの痕跡などの調査を進めていますが、詳しい原因は分かっていないとしています。

会社では、今後、会員に対して個別にメールで連絡し、別のサービスで同じメールアドレスやパスワードなどを使い回している場合には、不正なログインを防止するため変更してほしいとしています。

「ディスクユニオン」は、ホームページで「多大なるご迷惑とご心配をおかけいたしますこと、深くおわび申し上げます。本日の公表までお時間を要しましたこと、重ねておわび申し上げます」とコメントしています。

会員のパスワード 暗号化処理していない“平文”で保管

ディスクユニオンによりますと、今回漏えいしたおそれのあるおよそ70万人分の会員のパスワードは、暗号化の処理をしていない、いわゆる「平文」の状態で保管していたということです。

専門家は「情報漏えいのリスクを考えて、パスワードは、暗号化などを行ったうえで保管するべきだ」と指摘しています。

ディスクユニオンによりますと、今回、情報漏えいが起きた可能性がある2つのオンラインショップと、同じメールアドレスやパスワードで登録していた、通販サイトや音楽配信などの複数の別のサービスで、不正なログインがあったという問い合わせが、会員から相次いでいるということです。

情報セキュリティー会社によりますと、今月24日には「ディスクユニオン」のショッピングサイトの利用者のデータを入手したとする投稿が、主に海外で利用されているSNSで確認されています。

データは、およそ70万人分のパスワード、氏名、メールアドレスなどが含まれているとしていて、閲覧できる状態になっているということです。

サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「暗号化などがされていない平文のパスワードが漏えいすると、同じパスワードを他のサービスのログインに試す、パスワードリスト型攻撃に使われるおそれがある。ここ10年くらいに作られたWebサービスでは、利用者のパスワードを平文で保管しないことが常識になっており、サービスの運営者は、もしパスワードを暗号化などしていない場合は、漏えいのリスクを考えて、見直したほうがいい」と指摘しています。

一方、利用者側に対しては「複雑なものに設定したうえで、複数のサービスでの使い回しをしないようにしてほしい」と呼びかけています。