事案の発生
■被害企業
サーバー設置先: Amazon (US) 、サーバー証明書: Amazon RSA 2048 M02 (US) DV証明書
■被害サイト
サンリオオンラインショップ 一時的にサービス停止中
サーバー設置先: Cloudflare (US) 、サーバー証明書: Cloudflare Inc ECC CA-3 (US) OV証明書
事案の概要
サーバー負荷分散システムの設定を依頼したところシステム運用会社(もう少し詳しい紹介記事)が設定を誤り、複数の利用者の画面に他人の情報が表示されたため、個人情報が漏えいした事案です。
影響範囲
2023年10月12日、設定を変更した12時19分からサービスを停止した14時54分まで、他人の情報が表示された可能性があり、その間にオンラインショップにログインした利用者145名の個人情報が漏えいした可能性があります。
10月14日現在も、オンラインショップのサービスは停止しています。
大量アクセスに対応するため、複数のサーバーに負荷を分散する方法は効果的ですが、設定が複雑になりがちで、特定の利用者の処理をするサーバーの分散先を間違えると、このような事案が発生します。
本事案についての詳細は、サンリオが発行した次のリリースに掲載されています。
※これまで月別に掲載していた過去のセキュリティ事案の一覧は下記に移設し、随時更新することにしました。