「SNKRDUNK(スニーカーダンク)」に不正アクセス 275万件超の個人情報が流出の可能性

2022年6月15日、株式会社SODAが運営するCtoCマーケットプレイス「SNKRDUNK」サイトが第三者による不正アクセスを受け、個人情報(住所、氏名、生年月日、メールアドレス、、電話番号、購入情報、口座情報)275万3,400件が漏洩した可能性があることを公表しました。

 

漏洩懸念から対象顧客への通知まで8日

公表内容には「対象となるお客さまには弊社よりお詫びとお知らせに関する電子メールを送付し、弊社企業情報サイトおよびSNKRDUNK公式サイト上にも同内容を掲載」とあり、2022年6月7日の漏洩懸念から8日経過しています。

2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。

なお漏洩懸念の2日後、6月10日には暫定的なセキュリティ対策の実施が完了としていると公表されています。

>>【改正個人情報保護法】報告・通知が義務化

 

お問い合わせ窓口は非公開

公表内容では「専用お問い合わせ窓口」のアドレスのみが公開されており、同ページの閲覧には情報漏洩の懸念がある「SNKRDUNK公式サイト」へのログインが必要な仕様となっています。(2022年6月17日時点)
漏洩懸念のある275万件の中に退会したユーザーが含まれるかの有無については言及がないため、既に退会したユーザーは本件に関する「専用お問い合わせ窓口」の連絡先を把握できない状況にあります。

情報流出
個人情報 275万3,400件が漏洩した可能性
要因
データベースへの不正アクセス

被害企業概要

本社所在地
東京都渋谷区渋谷1-3-15 BIZCORE渋谷 2F
資本金
24億7376万円(資本準備金を含む)
事業内容
インターネットサービスの企画・開発・運営
従業員数
200名

実施しておきたい対策

脆弱性の事前診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、実施済みのセキュリティ対策として「外部セキュリティ専門家にて改めてSNKRDUNKの脆弱性診断」が挙げられています。通常、脆弱性はシステムが公開された後に発覚することが多く、定期的な脆弱性診断を行うことが望ましいと考えられます。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制し、データベースから個人情報が盗取されることを防ぐことが可能になります。
不正アクセス抑止機能(WAF)の導入
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
被害事例では、実施済みのセキュリティ対策に「WAFを導入し、不正アクセスのリクエストをブロック」が挙げられており、被害前には不正アクセス抑止機能(WAF)が導入されていなかったものと思われます。発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられ、不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。

Case Study
その他のサイバー攻撃 被害事例