サンリオ、外部からアクセス可能であったサンリオタウン350万件の情報漏洩はないと公表

サンリオは12月23日、「サンリオタウン」などの会員情報330万件を格納するデータベースが外部からインターネットで閲覧可能状態であったと報じられたことに対し、会員情報の流出はないと明らかにした。2015年12月19日にサンリオタウンのデータベース露出に関する記事がCSO Onlineに掲載され、氏名、生年月日、出身国、メールアドレス、SHA1によりハッシュ化された、パスワードのヒント、ポイントデータなどが格納されたデータベースが外部からアクセス可能な状態であったという。
原因としては利用しているサンリオタウンで利用しているMongoDBの設定ミスで、bind_ip(外部からの接続設定をおこなう設定)がデフォルトのままで外部からの接続を全て受け付ける状態であったと推測されている。

MongoDBはNoSQLの一つで世界中で幅広く利用されているデータベースであり、今回の問題はMongoDBの製品自体の問題ではないが、デフォルトパラメータがセキュリティを意識しない設定となっていることが今回のような問題を引き起こしたとの意見もある。apacheなどを含むオープンソースの製品も同様であり、エンジニアのセキュリティレベルが低い場合にはセキュリティホールを作ってしまうこととなるため、企業で利用する際でのセキュリティチェック体制が重要となる。

＜関連情報＞
プライバシーマーク（Pマーク）に関心がある方はこちらへ
ISMS（ISO27001）に関心がある方はこちらへ

一覧へ