同社のお知らせ

米Sanrio Digitalは12月22日(現地時間)、サンリオタウンにおける個人情報漏えいの疑いについて「脆弱な状態を修正した」と発表した。日本語訳が同社Webサイトに掲載されていることから、日本も対象になっていると思われる。

今回のサンリオタウンにまつわる情報漏えいについては、今月19日にセキュリティリサーチャーのChris Vickery氏が公表したもので、サンリオタウン会員の個人情報が外部からアクセスできる脆弱な状態にあったという。アクセス可能だった可能性のある個人情報は以下のとおり。

  • 氏名
  • 生年月日(エンコード化)
  • 性別
  • 国名
  • メールアドレス
  • パスワード(SHA-1ハッシュでエンコード化)
  • パスワードのヒント設定

最大で330万人の会員情報が閲覧された可能性があるとする一方で、悪意ある第三者によってデータが閲覧された形跡は一切ないとしている(ただし、Vickery氏は情報を参照している)。

同社によると、すでにVickery氏の指摘に基づき、脆弱性の修正とサーバの安全性は確保したという。また、パスワードもSHA-1ハッシュに基づきエンコード化(暗号化)していることからユーザーにとって安全な状態は維持されていたとしている。

一方で、サンリオタウン会員にはパスワードやパスワードヒントの変更、他社サイトで使い回しているパスワードを変更するように呼びかけている。