幻冬舎は2018年1月15日、同社のウェブサイトから会員情報が流出したことを明らかにした。最大9万3014人のメールアドレス、ユーザーID、名前の情報が流出した可能性がある。

 狙われたのは同社のWebサイトである「幻冬舎plus」。サイトに脆弱性が有り、そこを突かれて2013年11月12日から2017年8月18日までの間に会員登録した人について情報が流出した可能性がある。決済に使うクレジットカードや住所、電話番号などの情報は含まれていない。

幻冬舎はWebサイト上で会員情報の流出を告知している
幻冬舎はWebサイト上で会員情報の流出を告知している
[画像のクリックで拡大表示]

 同社の会員として登録したメールアドレス宛てにフィッシングメールが届いたユーザーが不審に思い、同社に問い合わせたことで流出が発覚。連絡を受け、残っていた2017年7月16日以降のログを確認したところ、不正アクセスの痕跡が確認された。

 今回悪用された脆弱性は、2017年3月30日に実施したシステムのバージョンアップ時に発生した。その後、2017年8月18日に対策を実施し脆弱性はふさいだものの、この5カ月弱の期間に不正アクセスを受けて流出してしまった。ユーザーから問い合わせがあるまで、実際に不正アクセスがあったかどうかの調査は実施しておらず発覚が遅れただけでなく、ログが残っていない期間について不正アクセスがあったかどうかはわかっていない。

 同社は流出の可能性がある会員について、お詫びと注意喚起のメールを送るという。