首都圏を中心に音楽CD・レコードチェーン店を展開する「ディスクユニオン」のECサイトから約70万件の個人情報がダークウェブに流出した。ディスクユニオン経由からSpotifyやAmazonのアカウントが不正ログインされたという報告が相次ぎ、ネットが騒然とする中、ディスクユニオンが情報漏洩を認めて謝罪した。
ディスクユニオンで個人情報が流出か
ディスクユニオンの個人情報流出の噂の出元はTwitterの「Daily Dark Web」 というアカウントで、数時間ごとに世界各国で流出した個人情報の情報を公開されている。
Japan
– Database of Disk Union is #Leaked
This dataset includes password, name, address_etc, tel, email_address, torihikisaki_code and more #Japan #Database #DarkWeb pic.twitter.com/lr6gNs1g1n
— Daily Dark Web (@DailyDarkWeb) June 28, 2022
ダークウェブとは言わばネット上の裏社会。特殊なブラウザでなければ閲覧できず、各種ネットウィルスや個人情報や違法ポルノなどが売り買いされているという。
この情報を請けたネットリテラシーが高いネット民は、「Daily Dark Web」が提示するサンプル テキストを見て不正流出または漏洩を確信したとみられる。
また一部の人はダークウェブに侵入しデータを見つけ、6月24日流出したのは約70万件のリストだとわかったという。 しかもパスワードはそのまま抜き取られており、暗号化してクラウド上で保存するなどの処置がとられていなかったようだ。
情報漏洩が事実なら70万人もの顧客情報を持ちながら、極めて脆弱な個人情報の管理体制だったと言わざるをえない。 ディスクユニオンで使ったIDとパスワードを使い回しているユーザーには、他のサービスのIDとパスワードを変更すべきと注意喚起する書き込みがSNSで増えている。
実際に不正流用の情報が流れて数時間でSpotifyやAmazonの不正アクセスがあったという声がネットで上がっている。 しかし、肝心のディスクユニオンのECサイト自体はメンテナンス中で、7月4日まで接続・サービスができないとなっていた。
サイトがメンテナンスになったのは6月25日からで、情報流出があったのが6月24日ということは、情報流出が発覚したためサイトを閉じたと勘ぐられてもしかたがない。
ディスクユニオンが漏洩を認めて謝罪
そんな中、29日午後0時56分にディスクユニオンが「弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告」と題し、Twitterで公式発表した。
弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告 pic.twitter.com/7IDBQBk95g
— ディスクユニオン【公式】 (@diskunion_news) June 29, 2022
これによると、「オンラインショップ『diskunion.net』ならびに『audiounion.jp』において、登録されているお客様の個人情報が外部へ漏えいした可能性があることが判明いたしました」とし、「現在、漏えいの経緯と原因について関係機関と連携し、調査を行っております」とした。
また、クレジット情報については、「弊社オンラインショップにおける決済は全て外部委託しておりますので、クレジットカード情報を保有しておりません。そのため、クレジットカード情報については漏えいの可能性はございません」としている。
「6月24日の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます」としたうえで、オンラインショップについては安全が確認するまでの期間は停止すると発表した。
ページ: 1 2