サンリオは2015年12月22日、海外ファン向けサイト「サンリオタウン」などの会員情報330万件を格納するデータベースがインターネットで閲覧可能状態であったとする報道を受け、本誌の問い合わせに対して「漏洩したかの事実を含め確認中」(広報)と回答した。同サイトは香港企業が運営していることも明らかにした。
この問題はセキュリティニュースを扱うサイト「CSOonline.com」が2015年12月19日に報じた。同記事によれば、氏名、元の情報を容易に推測できる程度に変換された誕生日、性別、国籍、メールアドレス、ハッシュ化されたパスワード、パスワードを忘れた際の質問と答え、その他の関連情報が漏洩したという。
原因について同記事はサイバー攻撃の被害ではなく、オープンソースのデータベースソフト「MongoDB」をインストールした時の設定ミスとしている。MongoDBに関しては警察庁が2015年2月20日、MongoDBがネット上で不用意に公開されているとして注意喚起を公表している。
サンリオによれば、問題が指摘された「サンリオタウン(http://www.sanriotown.com/)」は香港のSanrio Digitalが運営する。同社はサンリオの孫会社Sanrio Wave Hong Kongが30%を出資し、キャラクターのライセンス契約を結んでいる企業。サンリオ広報は「Sanrio Digitalの担当者と連絡を取っているが、漏洩が無かったことを確認するには時間がかかりそうだ」と話した。
サンリオタウンで検索すると、別ドメインの「サンリオタウン(http://www.puroland.jp/sanriotown/)」もある。こちらはレジャー施設「サンリオピューロランド」の一区画の紹介であり、サンリオ広報は「日本のサンリオ関連サイトで情報漏洩の懸念は無い」と話した。
サンリオは2015年4月8日、株主向けサイトに登録した同社株主6249人の株主情報が漏洩していた可能性を公表し、5月20日に事実を認めている(関連記事:サンリオが株主向けサイトからの情報漏洩認める、6249人に1000円分の金券配布)。
