会社名 | KLab株式会社 |
---|---|
株式情報 | 上場 |
漏洩種別 | 流出 |
漏洩対象 | web |
漏洩場所 | 社外 |
漏洩内容 | メールアドレス/生年月日 |
漏洩件数 | 2,439件 |
漏洩日時 | 2021/7/22 |
発表日時 | 2021/7/23、7/28 |
KLabにて外部からの不正アクセスおよび不正ログイン被害。同社が提供しているKLab IDにて、外部からの不正なアクセスをうけ、同サービスから不特定多数のメールアドレスに対し、迷惑メールが送信される事象が発生し、また、同サービスに登録済みと判明したメールアドレスに対し、同社外から入手したパスワードを組み合わせて不正にログインするパスワードリスト型攻撃の影響により、不正ログインされた会員の個人情報が流出した。
同サービスでは、新規会員登録時に利用者がメールアドレスを登録する必要があり、そのメールアドレスに対して確認メールを自動で送信する仕様になっているが、新規会員登録用メールを送信するURLに対して不審な大量アクセスを検出したことにより、約52万件の迷惑メールが大量に送信されていた事象を確認。本件は、本人以外の第三者が、メールアドレスをなんらかの方法で入手および不正利用して同サービスのURLに機械的にアクセスしたものと考えられる。その後、不審な大量アクセスにより、同サービスに登録済みと判明したメールアドレスに対し、不正ログインが発生し、同社でも不正なログインの発生を検知した。同社は、本件をうけ、問題となったURLの機能についてセキュリティの強化を実施し、不正ログインの対象になった会員のパスワードを変更する措置を講じるとともに、当該会員に連絡を行った。