　サンリオは12月24日、香港の関連会社・Sanrio Digitalが運営するコミュニティーサイト「サンリオタウン」に登録された330万人分の個人情報が第三者からアクセス可能だとセキュリティ研究者に指摘された問題について、Sanrio Digitalの見解を公表した。サーバの設定ミスが原因で、第三者が閲覧できる状態だったことを認めている。

サンリオタウン

　米IT情報サイトのCSOは、同サイトのデータベースがオンライン上で見つかり、ユーザーの氏名やメールアドレス、ハッシュ化済みパスワードなど330万件の情報が記録されていたと伝えた。セキュリティ研究者のクリス・ビッケリー氏が12月19日に問題を発見したという。

　Sanrio Digitalによると、原因はサーバの設定ミス。最大330万人の会員の氏名、性別、国名、メールアドレス、エンコードされた生年月日、「SHA-1」でハッシュ化されたパスワード、パスワードのヒントが、IPアドレスを知る第三者によってアクセスできた可能性があるという。サンリオによると、330万人のうち日本人は5万2000人。

　Sanrio Digitalはパスワードについて「SHA-1により暗号化され安全な状況は維持されていた」と説明しているが、SHA-1は危険性が指摘され、使用停止が勧告されている。

　サーバの設定ミスはすでに修正済み。個人情報は「第三者によって公開されたり利用された形跡はない」としている。サンリオのほかのサービスやWebサイトとはデータは共有されておらず、サンリオタウン以外に問題は及んでいないとしている。

　同社は会員に対して、サンリオタウンのパスワード変更と、同じパスワード・ヒント設定をしているほかのオンラインサービスのパスワードの変更を依頼している。再発防止に向け、追加のセキュリティシステムをサーバにインストールしたほか、今後は安全対策の定期点検・見直しを行うとしている。