ネットショップ(アルファエスパス輸入雑貨店)で個人情報流出 – 2018年7月に700件以上に及ぶ個人情報漏れが発覚【ネットニュース】
- 目次 -
ネットニュース – ネットショップで個人情報漏れ
有限会社アルファエスパスは輸入雑貨を取り扱うネットショップを運営していますが、2018年7月に700件以上の個人情報流出が2018年3月から4か月以上に渡り発生していたことを公表しました。ネット上から誰でも顧客の情報を閲覧することができるようになってしまっていたとのことです。
アルファエスパスのサイトにおける個人情報流出のお詫びの掲載
公式サイトの上記黄色塗り部分で個人情報流出のお詫びが公開されています。(2018年7月26日現在) お詫びのための一時的な公開にしては周囲に溶け込むような目立たないリンクで、かえって誠実さにかけてしまう印象を感じられました。既存顧客より新規顧客を優先しているような謝罪リンクの貼り方は、マーケティングの観点からすると残念な表現の仕方に思えます。
「システム不備による個人情報流出のお詫び」のページでは個人情報漏れが起きたことについての概要が記載されていました。詳細については当サイトにて事実確認した情報を後述しています。個人情報漏れの原因や流出規模について気になる方は下記をご覧ください。
アルファエスパスの個人情報流出についての詳細を確認
アルファエスパスのセキュリティ担当者に事実確認をおこない、セキュリティ担当者から回答を頂きました。気になっている方がいるかもしれないので、回答いただいた原因や個人情報流出規模などの詳細について共有します。
2018年7月に発生したアルファエスパス個人情報流出の原因
サイト開発時にテスト用プログラムとして顧客情報を出力するページを作成していたそうですが、それをそのままサイトに公開してしまい、誰でも顧客情報を見れるようにしてしまったということでした。
私はWEB開発に携わってきた身としては、身の毛がよだつような恐ろしい人的ミスだなぁという衝撃です。もし私が過去のように大手のWEB開発をおこなっていた時代に同じようなミスをしていたらと思うと恐ろしいです。
2018年7月に発生したアルファエスパス個人情報流出の規模
公開対象者数
723件(公開されていた情報は723件以上ありましたが、個人情報ではなくテストアカウントによる件数を除外すると723件とのことでした)
情報漏れ開始日
2018年3月2日
情報漏れ終了日(非公開になったことを確認できた日)
2018年7月18日 04:04
公開されていたページへのアクセス数
32アクセス、39PV
公開されていた情報
- 氏名
- 氏名カナ
- 郵便番号住所
- メールアドレス
- 電話番号
- 性別
- 誕生日
- パスワード(ハッシュ化された文字列)
- パスワードリマインダーの回答(ハッシュ化された文字列)
- 初回購入日
- 最終購入日
- 合計購入額
- ポイント数
- 登録日
- 更新日
個人情報流出におけるQ&A
現在もまだ個人情報が漏れている状態なのか?
以下の通り、インターネットから閲覧できないよう対応を行ったとのことです。
アルファエスパスによる回答:
- Google等へのインデックス並びにキャッシュ削除申請
- robots.txtによるクロールのブロック
を行うことで、インターネットから閲覧できないよう対応を行いました。
ただこの回答だと、URLを知っている人だと直リンクで行けてしまうのでは?と個人的には思ったりしてしまいましたが、直リンクやURLの直打ちなどへの対策をおこなっているものと信じます。。
通常であれば管理画面の機能なので、管理者以外はログインできないようにして、閲覧できないようにするページですね。そうなっていることを期待しています。
クレジットカードの情報は漏れていない?
クレジットカードにおける一連のシステムは外部サービスを利用しているため、アルファエスパス自体にはクレジットカードに関する情報は無く、外部に委託しているため今回の情報流出では公開されていないとのことでした。
パスワードも公開されているの?
パスワードは公開されていますがハッシュ化された状態で公開されているため、パスワードが知られることは基本的にはありません。ハッシュ化とは不可逆な文字列変換で、ハッシュ化されたパスワードから元のパスワードを知ることはできません。
情報漏れにおける対応は?
今回の対応では以下の対応を行うとのことです。
- 情報漏れの対象となった顧客へのお詫びメールの送信
- サイトへの個人情報流出に対するお詫びの掲載
- 同じ不具合が起こらないようにする管理
アルファエスパスの個人情報流出についてのまとめ
4か月という長期にわたり個人情報流出が行われていた割には、以下の点から影響具合は特別高いものではないと感じます。
- クレジットカードの情報は漏れていない
- パスワードはハッシュ化されていた為、解読不可能
- 4か月もの間公開されていた割にアクセス数が少ない
とはいうものの、顧客の氏名や電話番号、メールアドレス、住所などが公開されていたのは事実であり、公開されてしまった人は影響を受けることになるかもしれません。直近や今後の不審な電話・メール・宅配物などについては十分に気を付けて対応しましょう。