BL特化SNS「PictBLand」、オンライン即売会サービス「pictSQUARE」を運営するGMWは9月7日、8月に発生した不正アクセスによる情報流出の原因や対応について発表しました。
同社は8月15日に、データベースに不正アクセスがあり、情報が第三者によって流出した可能性があると報告。サービスを停止して対応を行っています。
9月7日の発表で、同社は原因について「運用上のミスにより、攻撃者に弊社システムのプログラムコードを復元され、データベースへの接続を許してしまった」と説明。8月15日にサイトの改ざんが発生したのち、攻撃者から脅迫メールがあったことも明かしています。脅迫については返事はせず、警察に通報していると述べています。
不正アクセスにより、pictSQUAREではメールアドレスや銀行口座など、ユーザー情報およそ80万件を窃取され、pictBLandでは作品情報データを書き換えられた被害があったと報告。クレジットカード情報の漏えいは確認されていないと述べています。
対策として、古いフレームワークによる全プログラムを全て破棄し、最新のフレームワークで再構築を行い、現在は脆弱性診断を実施。脆弱性検査と対策が完了次第、サービス再開を予定しており、現時点では9月21日の予定となっています。
個人情報やパスワードは管理体制を見直し、メールアドレスでのログイン認証はパスワードを使用せずに2段階認証を行う、ログイン履歴機能を導入する、決済情報などを必要最小限の期間のみ保存し定期的に削除する対策を行うと説明しています。
ユーザーへの対応としては、直接的な金銭的損害を受けた場合は全額を補償するとともに、希望者にはpictBLandプレミアムサービスの過去の料金を全額返金、pictSQUAREでキャンセルされたイベントについて、主催者に収益が発生していたものは収益額を全額支払うとしています。
なおpictSQUAREについては、現状「信用度も含めて費用を頂く立場に無い」として、当面の間は、新規申し込みにおいてサークル参加費の発生しない無料サービスにするとのこと。
Copyright © ITmedia, Inc. All Rights Reserved.