PR

 三菱地所・サイモンは2018年4月7日、同社が運営するショッピングモール「プレミアム・アウトレット」の会員情報漏洩の可能性を発表し、14日には漏洩事実を公式に認めた。日経 xTECH編集の指摘で気付いたとみられる。

プレミアム・アウトレットのWebサイト。右側に情報漏洩に関するお知らせがリンクされている
プレミアム・アウトレットのWebサイト。右側に情報漏洩に関するお知らせがリンクされている
(出所:三菱地所・サイモン)
[画像のクリックで拡大表示]

 14日の発表では、漏洩したのはメールアドレスとパスワードのみで、登録情報と一致しているメールアドレスとパスワードの組み合わせが約24万件、メールアドレスだけが一致しているものが約3万件だったとした。さらに該当のユーザーには、他サービスで同じパスワードを使っている場合は速やかに変更するように呼び掛けた。

 しかし同社の会員に向けた注意喚起は、不十分だ。会員情報で漏洩したのは、登録されていたメールアドレスとパスワードだけではないと考えられるからだ。

漏洩データ内のパスワードが暗号化されていない

 根拠は二つある。一つは、データの漏洩元が認証用のデータベースでない可能性が高いこと。もう一つは、データの漏洩から会員サービスの停止までに1カ月以上かかっているため、会員ページでその他の情報を盗み見られた可能性があることだ。

 まず、データの漏洩元がデータベースからではない理由を説明する。

 今回漏洩したのは、プレミアム・アウトレットの会員サービス「ショッパークラブ」のIDとして使われるメールアドレスとパスワードだ。漏洩したデータはテキスト形式で、メールアドレスとパスワードの組み合わせが1行に一つずつ記載されている。記載されたパスワードは、「平文」と呼ばれる、暗号化されていない文字列だ。

漏洩データに含まれるメールアドレスとパスワード。パスワードは平文のままだ(一部、画像を処理済み)
漏洩データに含まれるメールアドレスとパスワード。パスワードは平文のままだ(一部、画像を処理済み)
[画像のクリックで拡大表示]