サンリオファン向けサイト運営元、脆弱性報道受け状況説明

  • このエントリーをはてなブックマークに追加

 サンリオキャラクターのファン向けコミュニティサイト「SanrioTown.com」を運営する香港のSanrio Digitalは、セキュリティ脆弱性が原因で、SanrioTown.comのメンバーの個人情報が外部からアクセス可能な状態になっていたことを認めた。最大330万人のウェブサイトメンバーがこのセキュリティ脆弱性の影響を受ける可能性があったとしている。この脆弱性は既に修正済みであるが、今回の事件に関する内部調査やセキュリティレビューを進めているという。CSO Onlineなど一部メディアは先週、SanrioTown.comのデータベースがオンラインに流出した恐れがあるとして報じていた。

 Sanrio Digitalは、現時点でSanrioTown.comユーザーの個人情報が盗まれたり、危険にさらされたりした事例を確認していないとしている。また、SanrioTownのメンバーシップデータはSanrio.comといったSanrioのほかのサービスやウェブサイトと共有されておらず、Sanrioのほかのサービスはこのセキュリティ脆弱性の影響を受けなかったと述べている。

 Sanrio Digitalによると、セキュリティ研究家のChris Vickery氏が米国時間12月19日、特定の脆弱なサーバのIPアドレスが分かれば、SanrioTown.comメンバーの個人情報(氏名や誕生日、性別など)にアクセスできる状態になっていたことを明らかにしたが、危険にさらされたデータにクレジットカード情報などの決済情報は含まれていなかったという。また、パスワードは暗号学的ハッシュ関数「SHA-1」でセキュアに暗号化されていたとしている。原因は、サーバの設定ミスであるという。

 Sanrio Digitalは、自社のサーバに追加のセキュリティメカニズムをインストールしたと述べ、今後はこれらのセキュリティ対策の再検討を定期的に実施していくとしている。また、SanrioTownユーザーに対し、SanrioTownのパスワード、さらに同様のパスワードやヒントの質問を使っている場合はほかのオンラインサービスやアカウントのパスワードも変更するよう求めている。Sanrio Digitalは、「今回の事件でご心配やご迷惑をおかけしたことを深くお詫びしたい」とブログで述べている。

  • このエントリーをはてなブックマークに追加