パイプドビッツのECサイト基盤から個人情報流出、システムの設定不備でバックドア置かれる(1/2 ページ)

パイプドビッツが運営するアパレル特化型ECプラットフォームへの不正アクセスで、利用者の個人情報が何者かにダウンロードされたことが判明。事態の経緯や原因などについて詳しい説明をしている。

» 2016年06月22日 20時10分 公開
[ITmedia]

 パイプドビッツは6月22日、同社が運営するアパレル特化型ECプラットフォーム「スパイラルEC」が不正アクセスを受け、利用者1万946人分の個人情報などが外部にダウンロードされたことを確認したと発表した。現時点で悪用などは確認されていないとしている。

不正アクセスによる情報流出が確認された「スパイラルEC」

 同社によると、流出した情報はスパイラルEC上でウェアハートが運営するECサイト「NET ViVi Coordinate Collection」の1万5581件の注文履歴。2015年8月22日午後3時から2016年4月18日午後4時38分までの間に同サイトで注文を行った1万946人の氏名、住所、メールアドレス、電話番号、コメント、配送先の住所、電話番号、金額、送状番号などとしている。これら注文に関する情報の中に会員IDやパスワードは含まれておらず、クレジットカード情報も保有していないことから、外部には流出していないという。

 一方、スパイラルEC上でECサイトを運営する43社53サイトの314人分の管理画面にアクセスするためのログインIDや暗号化されたパスワード情報が第三者に閲覧された恐れがある。さらに、40社42サイトについては約98万件の会員データの一部が第三者に閲覧された可能性を排除できないという。これらの情報のデータが外部に流出した事実は確認されていない。

 また、2社2サイトについては決済代行サービスと連携するための設定が第三者に閲覧されており、22社24サイトに関しても閲覧された可能性がある。これによって注文金額に引き下げられる恐れがあるものの、現時点で悪用などの報告はないという。

 パイプドビッツは、不正アクセスの原因となったシステムの設定不備や脆弱性などの修正し、第三者がシステム内に設置したマルウェアの駆除と外部への不正接続の遮断、アクセス制限や監視強化などの措置を講じたとし、全ユーザーにログインパスワードの変更やIPアドレス制限の設定を依頼した。

 同社が他に運営する「スパイラル」「スパイラル PLACE」「ネットde会計」の3サービスは、スパイラルECとは異なるシステム設定になっていたことから、今回の不正アクセスと同じ手口が成立せず、現時点で問題がないことを確認しているという。

 パイプドビッツの親会社パイプドHDも同日付で事態を公表し、グループ各社のシステム監視体制やセキュリティ対策を強化すると説明。パイプドビッツについては7月1日付で「不正アクセス対策室」を新設し、脆弱性診断やサイバー攻撃監視、防御策の調査・研究に取り組む予定だという。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ