全1666文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は、3件のセキュリティー事故を取り上げる。1つめはユピテルの個人情報流出、2つめはNTTデータ・イントラマートが提供するドキュメントに関するトラブル、3つめはサンリオエンターテイメントのWebサイトへの不正アクセス被害である。

「痕跡を確認できなかったので様子見」と4年前に判断

 ドライブレコーダーやレーダー探知機などの製造・販売を手掛けるユピテルは2021年6月7日、同社製品の利用者向けサイト「My Yupiteru」の会員情報が流出したとして謝罪した。流出した会員情報には、会員の名前や住所、性別、生年月日、電話番号、メールアドレスが含まれる。

My Yupiteru会員の個人情報流出に関するおわび
My Yupiteru会員の個人情報流出に関するおわび
出所:ユピテル

 同社の関係者が2021年5月25日、外部から「2017年末の不正アクセスによって得た個人情報を持っている」として金銭を要求する脅迫メールを受け取った。そしてメール内のリンク先にあった52万8563件のデータの中から、2017年10月末時点の会員情報40万5576件を確認した。

 同社はMy Yupiteruへの不正アクセスを2017年10月31日に確認し、システム開発会社やサーバー管理会社などに調査を依頼した。そしてシステム会社とサーバー管理会社から「個人情報がダウンロードされた痕跡はない」と報告を受けたため、いったん様子見として公表を控えていたという。その後、システム会社とサーバー管理会社を変更し、新システムに切り替えてサービスを継続していた。

https://www.yupiteru.co.jp/corp/important/210607.html

ドキュメントに残した古いスクリプトによって意図しないサイトに誘導

 NTTデータ・イントラマートは2021年6月3日、公開するドキュメントに含まれるスクリプトによって同社と関係のないサイトに誘導されるトラブルがあったとして謝罪した。

ドキュメントに残した古いスクリプトによる不具合について
ドキュメントに残した古いスクリプトによる不具合について
出所:NTTデータ・イントラマート

 同社は同社製ソフトウエアのドキュメントに、外部の機械翻訳サービスを利用して文面を英語や中国語などに翻訳するスクリプトを設定していた。その後機械翻訳サービスの利用をやめたが、スクリプトが機能しないことを確認した上でドキュメントに残したままにしていた。

 ところが機械翻訳サービスで利用していたドメインが第三者の手に渡り、スクリプトによって意図しないサイトに誘導されるようになった。同社は外部からの指摘で、5月18日にこの事象を確認したとしている。

 5月25日までに公開中のドキュメントから当該のスクリプトを削除し、この事象が発生しないことを確認したという。ただし、ダウンロード済みのドキュメントや製品に同こんされたDVDに格納されたドキュメントにはこのスクリプトがまだ残っているため、利用しないよう呼びかけている。

https://www.intra-mart.jp/topics/2021/006465.html