ニュース

pixivが運営する「BOOTH」、ログイン中に他ユーザーのアカウントになる障害

同人音楽即売会ページ「APOLLO」で個人情報や購入履歴が漏えい

 ピクシブ株式会社(pixiv)は11月30日、同社が運営するショップ作成サービス「BOOTH」において、ログイン中に他のユーザーのアカウントに切り替わる障害が発生したことを公表した。その結果、一部ユーザーのアカウントにおいて、他のユーザーから個人情報や購入履歴、注文・売上情報などが閲覧可能だったほか、決済を含む諸機能も利用可能だったという。最大で125人が該当する。

ユーザー向けの告知がpixivおよびBOOTHのサイトに掲載されている

 障害は、11月28日からBOOTH上で開催されていたウェブ上の同人音楽即売会「APOLLO」で発生した。pixivによると、11月29日17時9分〜18時12分の間に「APOLLO会場ページ」内のページにアクセスしたユーザーが、他ユーザーのアカウントのままBOOTHを使用できてしまった可能性がある。

 一方、同じく11月29日17時9分〜18時12分の間に「APOLLO会場ページ」内のページにアクセスしたユーザーのうち、BOOTHにログインしていたユーザーが、他ユーザーからアカウント情報を閲覧・変更された可能性がある。

 閲覧・変更された可能性のある情報は、住所、氏名、メールアドレス、クレジットカードの下4桁とフルネーム、有効期限、購入履歴、連携しているpixivアカウント名。

 また、オーナー登録していた場合は、銀行口座情報、電話番号、注文情報、売上情報、問い合わせ内容、非公開のアイテム、ダウンロードファイルも含まれる。

 pixivによれば、サーバー負荷を削減するために行ったキャッシュの設定方法に誤りがあり、一部ユーザーのCookieが他のユーザーと共有されてしまう事態が発生したのが原因。pixivでは、障害発生中の決済をキャンセル・返金するとともに、障害発生中に保存されたデータのうち個人情報を含むものを削除するなどの措置をとった。

 なお、APOLLOの開催期間は11月28日から3日間の予定だったが、障害発生を受けて会期を1日延長し、12月1日23時59分までとした。pixivでは、情報が漏えいした可能性のある125人に対しての補償も発表。APOLLOでの買い物について、該当者1人につき30アルバム分の購入代金をpixivが負担する(1アルバム当たりの上限金額は2000円)。

(永沢 茂)