三菱地所・サイモンは2018年4月7日、同社が運営するショッピングモール「プレミアム・アウトレット」の会員情報漏洩の可能性を発表し、14日には漏洩事実を公式に認めた。日経 xTECH編集の指摘で気付いたとみられる。

プレミアム・アウトレットのWebサイト。右側に情報漏洩に関するお知らせがリンクされている
(出所:三菱地所・サイモン)
[画像のクリックで拡大表示]

 14日の発表では、漏洩したのはメールアドレスとパスワードのみで、登録情報と一致しているメールアドレスとパスワードの組み合わせが約24万件、メールアドレスだけが一致しているものが約3万件だったとした。さらに該当のユーザーには、他サービスで同じパスワードを使っている場合は速やかに変更するように呼び掛けた。

 しかし同社の会員に向けた注意喚起は、不十分だ。会員情報で漏洩したのは、登録されていたメールアドレスとパスワードだけではないと考えられるからだ。

漏洩データ内のパスワードが暗号化されていない

 根拠は二つある。一つは、データの漏洩元が認証用のデータベースでない可能性が高いこと。もう一つは、データの漏洩から会員サービスの停止までに1カ月以上かかっているため、会員ページでその他の情報を盗み見られた可能性があることだ。

 まず、データの漏洩元がデータベースからではない理由を説明する。

 今回漏洩したのは、プレミアム・アウトレットの会員サービス「ショッパークラブ」のIDとして使われるメールアドレスとパスワードだ。漏洩したデータはテキスト形式で、メールアドレスとパスワードの組み合わせが1行に一つずつ記載されている。記載されたパスワードは、「平文」と呼ばれる、暗号化されていない文字列だ。

漏洩データに含まれるメールアドレスとパスワード。パスワードは平文のままだ(一部、画像を処理済み)
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら