ニュース
サンリオから情報流出か、ハローキティサイトのDB見つかる
ユーザーの氏名やパスワードなど330万件のアカウント情報を記録した「sanriotown.com」のデータベースがオンライン上で発見されたという。
米IT情報サイトのCSOは12月19日付で、サンリオが運営するハローキティのファンサイト「sanriotown.com」のデータベースがオンライン上で見つかったと伝えた。
CSOによると、この問題はセキュリティ研究者のクリス・ビッケリー氏が米国時間の19日に発見した。オンライン上で見つかった同サイトのデータベースには330万件のアカウント情報が記録されていて、登録ユーザーの氏名、誕生日、性別、国、電子メールアドレス、パスワード(SHA-1でハッシュ化されているがソルト化はされていない)、パスワードを忘れた場合の秘密の質問と答えなどが露呈されていた。
SHA-1は危険性が指摘され、使用停止が勧告されているハッシュ関数。ビッケリー氏はMac向けソフトウェア「MacKeeper」の顧客情報流出問題も発見していた。
今回の問題は、サンリオが各国で展開する他のWebサイト経由で登録されたアカウント情報も影響を受けるという。
ユーザーの特定につながるIPアドレスも一部が露呈されていたが、後にセキュリティ対策が施されたとCSOは伝えている。原因はハッキングではなく、MongoDBのインストールに関する設定ミスにあるという。
サンリオはCSOの取材に対し、「SanrioTownサイトのセキュリティ侵害とされる件については現在調査中。確認されれば情報を公開する」とコメントしている。
関連記事
- サンリオの株主情報が漏えいか、業務委託先で調査(Update)
ネットサービスの「サンリオ株主ポイント倶楽部」から株主らの個人情報が漏えいした可能性がある。 - Mac向けソフト「MacKeeper」、顧客情報1300万流出か
問題を発見したセキュリティ研究者は、検索エンジンのShodanで無作為に検索を行っていて偶然、Kromtechのデータベースが誰にでもアクセスできる状態になっているのを発見したという。 - 「SHA-1の廃止前倒しを」 専門家チームが提言
SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 - SSLやPGPで使われているSHA-1アルゴリズムにセキュリティ欠陥――専門家が指摘
強力なデータ暗号化アルゴリズム「SHA-1」のクラック手法に関する論文が発表された。まだ実用的なものではないが、改良される危険性はある。(IDG)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.