山と渓谷社は2017年12月19日、登山情報サイト「ヤマケイオンライン」が外部から不正アクセスを受けて、一部の会員情報が流出したと発表した。

 判明している流出データは1160人分の氏名など。氏名の流出が1154人分に加え、メールアドレスの流出が3件、氏名とメールアドレス両方の流出が1件、氏名・アドレスのほか住所や電話番号など登録情報が全て流出したケースが2件あった。不正アクセスは10月31日、11月22日、11月23日に痕跡があったという。

 ただし、痕跡が判明しているのはログが残る10月28日以降の31日分で、山と渓谷社はこれ以前に不正アクセスを受けていたかどうかは調査・解析できない、としている。

情報流出を報告するWebサイト
(出所:山と渓谷社)
[画像のクリックで拡大表示]

 ヤマケイオンラインは無料の会員登録をすることで、サイトで紹介した登山ツアーに申し込めたり、登山計画を立てたり登山記録を書き残したりする機能を利用できる。会員数は約22万人。

 情報流出の原因は、Webサイトのソフトウエアに脆弱性があり、想定しないSQL文を実行させてデータベースシステムを不正操作する「SQLインジェクション」が使われたためという。バグはサイト構築・運用の委託先企業が開発したプログラムに含まれていた。

 先月11月29日にヤマケイオンラインの会員からフィッシングメールが届いたとの報告を受け調査を開始、今回の不具合が発覚した。原因を究明し、脆弱性は12月5日までに解消したという。

 山と渓谷社は警察署に被害届を提出したほか、自社では情報セキュリティ対策の強化を進め再発防止に努めるとしている。