ユピテル、40万人分の会員情報流出 不正アクセス確認から3年以上報告せず、脅迫メール受信で公開
自動車用品などを手掛けるユピテルは2017年10月にサーバが不正アクセスを受け、同社が運営する会員サイト「My Yupiteru」に登録する約40万人分の個人情報が外部に流出したと発表。クレジットカード情報は含まれておらず、個人情報の悪用も確認されていない。
自動車用品などを手掛けるユピテル(東京都港区)は6月7日、2017年10月にサーバが不正アクセスを受け、同社が運営する会員サイト「My Yupiteru」に登録する約40万人分の個人情報が外部に流出したと発表した。攻撃者とみられる人物から、金銭要求の脅迫メールを受信していることも併せて公表した。クレジットカード情報は含まれておらず、7日時点で、個人情報の悪用も確認されていない。
流出したのは、17年10月以前に同サイトへ会員登録した40万5576人分の住所、氏名、性別、生年月日、電話番号、メールアドレスを含む、52万8563件のデータ。残り12万件余りのデータについて同社は、既に退会済みで閲覧できない情報や入会手続きを途中で取り消したユーザーの情報などとし「情報流出を確認した会員には、個別に連絡する」としている。
同社が不正アクセスを確認したのは2017年10月31日。不正アクセス元からの通信を遮断するとともに、社内全端末へのセキュリティチェックを実施した。その後、委託先のシステム開発会社やサーバ管理会社に調査を依頼した結果、「不正アクセスは確認するも、個人情報がダウンロードされた痕跡は認められない」との見解を示したため、当時は不正アクセスの公表を見送ったという。
事態が急転したのは、不正アクセスから約3年半後の21年5月。社員が攻撃者とみられる人物からのメールを受信。文面を確認すると「2017年末にサーバをハッキングし、顧客情報を持っている」とする文面とともに「私はお金が必要です。私は金銭を尋ねます。入手した情報を競合他社に渡します。彼らは購入するでしょう。私はあなたのために2週間待ちます」(原文ママ)と金銭を要求する記載があった。メールに記載されたリンク先に、約52万件のデータを確認した。
要求金額について同社は「詳細は開示できない」とし明言を避けたものの、「かなりの金額」と話す。脅迫メールの文面に対しても「不自然な日本語で、機械翻訳を使っているように感じる。海外からの攻撃ではないか」との見解を示している。脅迫メールの受信後、同社は三田警察署に被害届を提出するとともに、個人情報保護委員会にも報告した。
現在、同社は会員にログインパスワードの変更を求めている他、特設のコールセンターを開設し、対応に当たっている。
関連記事
- ドライブレコーダーが発火 ユピテルが8万5000台無償交換
ユピテルがドライブレコーダー「DRY-FH200」を無償交換。発煙・発火の恐れがあるという。 - サンリオ子会社に不正アクセス、メアド4万6000件流出か SQLインジェクション攻撃で
サンリオエンターテイメントが、同社のWebサイトに不正アクセスを受け、メールアドレス4万6421件が流出した可能性があると発表。「SQL文」を何らかの方法で実行させ、利用しているデータベースを不正操作する「SQLインジェクション」を受けたという。 - 富士フイルム、「ランサムウェア攻撃を受けた可能性」で一部システムを停止
富士フイルムはグローバルサイトで、6月1日深夜にランサムウェア攻撃の可能性に気付いたと発表。一部地域で影響を受けるシステムを停止した。日本のサービスは影響を受けていない模様。 - 「Omiai」運営元、企業サイトのフォームからも情報流出 「システム設定の不備」で
ユーザーの免許証データなど171万件が流出した可能性のある「Omiai」に関連して、新たな情報流出。企業サイトの問い合わせフォームに入力した内容が、他社から閲覧できる状態になっていた。 - メルカリ、顧客情報など2万7000件以上流出 外部ツールへの不正アクセスで
メルカリは、同社が利用しているコードカバレッジツール(ソースコードが自動でテストされた割合を計測するツール)「Codecov」が不正アクセスを受け、顧客情報や加盟店情報など合計2万7889件が流出したと発表。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.