個人情報漏洩事故（事件）一覧

不正アクセスによる情報漏えいのお詫びとご報告

2011年8月23日

株式会社スポーツギア　代表取締役　大竹 幸信

 

2011年5月下旬、お客様のクレジットカード不正使用に関する複数の照会を受けたことに伴い、社内調査及び第三者機関による二重の調査を行いましたところ、"SQLインジェクション"というクラッキング手法による国内・海外（主に中国）からの不正アクセスを確認致しました。あわせて全263件（弊社関係者、有効期限切れを除くと248件）のクレジットカード情報の漏えいが判明致しました。お客様ならびに関係者の皆様にご迷惑、ご心配をおかけ致しまして心よりお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、二度とこうしたお客様情報漏えいが起こらないよう、クラッキング対策及び個人情報保護プログラムの強化、またお客様及び関係者の皆様の信頼回復とお詫びに全力で取り組む所存です。

 

なお、今回、お客様情報が漏えいしたことが確認されたウェブサーバーは当『テニスギア』のみであり、他の弊社関連サイトにおいては不正アクセスは確認されませんでした。

 

 

1. 不正アクセスによる情報漏えいの内容・調査結果のご報告（2011年8月23日更新）

調査の結果、不正アクセスによって窃取された情報は、弊社データベースサーバー内にありました、オンラインショップの受注データに含まれるクレジットカード情報* 263件（うち10件は弊社関係者、5件は有効期限切れで使用不可）であることが分かりました。

 

*...クレジットカード情報とは「カード番号」「有効期限」「セキュリティコード」の3つになります。

 

・クレジットカード情報漏えいによりご迷惑をお掛けしましたお客様

2011年2月10日〜2011年5月16日の期間内にテニスギアでクレジットカード決済をご利用になったお客様263名様のうち、弊社関係者10名、有効期限切れの5名をのぞく248名様

 

・不正アクセスの日時・攻撃手法

日時：2011年5月14日〜2011年5月16日にかけて断続的に

攻撃元：国内・海外（主に中国のIPアドレス）

攻撃手法：弊社データベースサーバー内のデータベースに対する「SQLインジェクション」（アプリケーションが想定しないSQL文を実行させることにより、 データベースシステムを不正に操作する攻撃方法）。

※ガンブラー・ウイルスによる攻撃ではありません。

 

 

2. お客様への対応について　（2011年8月23日更新）

情報漏えいによりご迷惑をおかけしたお客様へは、今後、個別にお詫び品の送付と報告のご連絡を差し上げます。

また、クレジットカード会社のご協力により、不審な利用の監視を続け、不正利用を未然に防ぐ態勢を取ってまいりました。

 

お客様におかれましては、2011年5月14日以降のクレジットカードのご利用明細にお心当たりのない請求が含まれていないか、いま一度ご注意をいただきますようお願い申し上げます。お心当たりのない請求がございましたら、ご加入のクレジットカード会社までご連絡くださいますよう、併せてお願い申し上げます。

 

 

3. 経緯および今後のセキュリティ対策について　（2011年8月23日更新）

テニスギアでは、情報の漏えいの可能性が指摘されて直ちに、以下の対策を行いました。

 

▼2011年5月18日午後7時

同日午後6時半ごろ情報漏えいの可能性が指摘され、ただちに関係者への状況確認、および緊急役員会を行いました。

 

▼2011年5月18日午後8時

役員会の判断により、弊社の所有するクレジットカード情報をデータベースから全て抹消しました。

また今後クレジットカード情報そのものを一切データベースに保持しないシステム（クレジットカード情報の非保持方式）に変更致しました。

これにより、当社データベースからカード情報が漏洩する可能性はなくなりました。

 

▼2011年5月23日午後0時30分

サーバのログより不正アクセスの特定、および犯行手口の再現ができたことから、ただちに全ての証拠を保存し、システムのセキュリティーホールを発見しました。

 

▼2011年5月23日午後8時

システムを強化し、不正アクセス対策・SQLインジェクション対策を施しました。具体策は以下となります。

・不正アクセス時によく使われるという中国の特定IP経由のアクセスが遮断されるようにしました。

・受け付けるパラメータの処理方法を根本的に変更することで、セキュリティーホールを埋め、同様の手法及びその他想定される手法によるSQLインジェクションを事実上不可能に致しました。

・クラッカーにヒントを与えるようなエラーメッセージが一切表示されないようにしました。

 

▼2011年6月17日

・クレジットカード会社が指定する第三者機関へ調査を依頼しました。

 

▼2011年7月28日

・第三者機関による調査レポートを受け取り、社内調査の結果と複合することで被害の全容を確定するとともに、システム内に潜在的に存在するセキュリティリスクを0にするための指導を受けました。

 

▼2011年8月15日

・第三者機関による調査レポートに従い、さらなるシステム改善を完了いたしました。

 

▼今後の対策について

カード情報自体を全て抹消してしまったためそもそも今後の漏えいの危険はありませんが、今後一切の情報の漏れが起こり得ないよう、クラッカーに隙を与える可能性のある場所の洗い出しを行い、さらなる対策を行っていきます。

あわせて、個人情報漏えい保険への加入を行います。

 

また、全国のテニスファン、ご利用頂いたお客様に一切の不安を与えることがありませんよう、テニス業界およびネットショッピング業界のさらなる発展のため、より一層の強い責任を持ってお客様を守り誠心誠意サイト運営に努めさせて頂きますので、どうか安心してテニスギアをご利用頂けますようお願い申し上げます。

 

 

4. 本件に関するお問い合わせ先

本件に関する全ての問い合わせには、正確な情報を直接お伝えするため、スタッフではなく店長の大竹が対応に当たらせて頂きます。そのため、大変勝手なお願いとなりますが、お電話でお問い合わせを頂いても私が不在の場合がございます。全てのお問い合わせに確実に私が対応できますよう、問い合わせフォームあるいはメールにてお問い合わせくださいませ。

→ お問い合わせフォーム

 

 

5. ご注意ください

弊社やクレジットカード業界団体ならびにクレジットカード会社が、お客様へ電話や訪問をして、クレジットカード番号や個人情報をお尋ねすることはございません。お客様におかれましては、第三者にクレジットカードをお渡ししたり暗証番号などの重要なクレジットカード情報をお伝えになったりすることは、絶対になさらないようお願い申し上げます。また、このようなケースにあわれた際には、警察署や消費者センター等にご連絡くださいますようお願い申し上げます。

 

 

 

情報ソース

http://www.tennis-gear.net/notice/illegalaccess2011.html