自分の個人情報が漏えい・流出被害の対象でないことを確認するためのサイトです。 ISO27001(情報セキュリティISMS)、JISQ15001(プライバシーマーク)取得企業は、他の企業の対応事例を参考にして下さい。 自らの非を認め、公表してくれる企業は、信頼できる企業ということがいえます。
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
2011年3月22日
各位
株式会社フィッシングタックルオンライン
代表取締役西尾宜之
「フィッシングタックルオンライン」への不正アクセス発生についてのご報告とお詫び
このたび、弊社が運営するウェブサイト「フィッシングタックルオンライン (http://www.bun2.jp/)」(以下「本サイト」と申します。)のウェブサーバー等に外部からの不正アクセスがあり、その内容を調査いたしましたところ、本サイトをご利用いただいておりますお客様の個人情報が、海外からの不正アクセスにより流出した可能性があることを確認いたしました。
お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。
弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に社員一同、全力で取り組む所存です。
現在、不正アクセスの対策としてシステムの見直し及びプログラムの改良を重ね安心してご利用できる環境となっております。またクレジット決済につきましても自社内にクレジットカード情報を持たないシステムとしてPayPal(ペイパル)サイトで運用しておりますので弊社からクレジットカード情報が漏洩することはあり得ませんのでご安心下さいませ。
どうか今後とも「フィッシングタックルオンライン」を宜しくお願い致します。
本件に関する経緯、不正アクセスの内容等につきまして下記の通りご説明させていただきます。
記
1.経緯
● 2011年1月18日
・ お客様からクレジットカードの不正使用についての問合わせがありました。
● 2011年1月19日
・ 今までにそのような指摘内容のメールは初めてのケースでありましたので念の為弊社担当者がサーバー内を調査したところ 一つのフォルダ内にスパイファイルらしきファイルを発見。
・ その時点での全てのデータをバックアップし、そのファイルを削除。
・ この時点では情報流出の有無は不明。
・ 念のため、データベース上に残っていたクレジットカード情報をすべて削除する。
* この時点でデータベース上に残っていたカード情報は168件です。
* システムとして出荷処理と同時にカード情報は全て削除する仕組みとなっています。
● 2011年1月21日
・ 過去のバックアップファイルを調査し、不正なファイルが無い状態のシステムへデータを入替える。
● 2011年1月22日
・ 弊社サーバー内のクレジット機能を停止し、クレジット決済をPaypal(ペイパル)サイトでのみの利用とする。
● 2011年1月24日
・ クレジット会社へカード情報漏洩の可能性があることを報告する。
● 2011年2月1日
・ VISA・マスターカード会社指定のセキュリティー専門会社の調査がスタート。
● 2011年2月10日
・ 途中経過としてサーバー内のデータベースから削除されたデータよりカード番号と読みとれる可能性のあるデータが3,321件 (最大値)あることの報告を受ました。
● 2011年3月7日
・ セキュリティー専門会社から不正アクセスについて攻撃方法、アクセスルート、スパイファイル等についての最終報告を受けました。
● 2011年3月22日
・ フィッシングタックルオンラインのホームページ上にて公表。
流出の可能性がありEメールアドレスを保持していたお客様にお知らせを配信。
2.不正アクセスの内容 及び今後の対応
(1) 侵入経路など
セキュリティ専門会社による詳細なログ分析の結果、犯人は、本サイトのサーバーに不正に侵入し、不正アクセス用プログラムを 設置したものと思われます。
現在は、不正アクセス用プログラムはすべて排除され、侵入経路となりうる部分はすべて外部から遮断されております。
なお、弊社では不正アクセスに該当するものとして関係官公署に相談を開始。警察の指導のもと捜査用データ及び証拠書類を 提出、捜査に全面的に協力しております。
(2) 閲覧された痕跡のあるデータについて
犯人が設置したと思われる不正アクセス用プログラムは「フィッシングタックルオンライン (http://www.bun2.jp/)」において、 2009年8月2日〜2011年1月19日の間にお買い物をされたお客様の個人情報が格納されている「購入情報テーブル」を閲覧できる 機能がありました。
この事実から、弊社では「購入情報テーブル」のデータが流出した可能性が高いと考えております。
「購入情報テーブル」の個人情報項目は下記の通りとなっております。
1. ユーザーID
2. ログイン用パスワード(暗号化されています)
3. 氏名
4. Eメールアドレス
5. 住所
6. 電話番号
7. クレジットカード会社名情報(クレジットでご購入の場合)
8. クレジットカード名義(クレジットでご購入の場合)
9. クレジットカード番号(クレジットでご購入の場合)
10. クレジットカード有効期限 (クレジットでご購入の場合)
(3) 流出の可能性のあるデータについて
15,360件(2009年8月2日〜2011年1月19日の全対象データ)
上記のうち削除されたデータより復元される可能性のあるクレジットカード番号は
3,321件(最大値)ございます。この内168件につきましては商品出荷前のため
データベースより削除されておりませんでした。
※期間内(2009年8月2日〜2011年1月19日の間)にてクレジットカードをご利用してご購入頂いたかどうかの 有無については、弊社までお尋ね下さい。
※ セキュリティ専門会社の詳細なログ分析においても、実際の流出内容および件数は不明となっております。
上記、流出の可能性のあるデータ件数は、不正アクセスを受けた当時のデータベース状況から考えられる最大値となっております。
(4) クレジットカード会社との協調について
弊社では流失の可能性のあるクレジットカード番号3,321件(最大値)をクレジットカード会社と連携し、万全を期しての対応をご依頼しております。
(5) 今後のセキュリティ対策について
WAF(ウェブ・アプリケーション・ファイアウォール)(※1)の導入及びPCIDSS(※2)の準拠に向けて取り組んで
参ります。詳細なスケジュールにつきましては、後日公表させていただきます。
(※1)WAF(ウェブ・アプリケーション・ファイアウォール)は、通常のファイアウォールでは防ぐことが難しいアプリケーション層への不正アクセス攻撃に対してブロックを行います。WAFを導入することで攻撃に対して効率的にブロックすることが可能となります。 またWAFの導入はPCIDSS(※2)の要件項目でもあります。
(※2)PCIDSS…PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)は、
クレジットカード情報および取り引き情報を保護するために、JCB・American Express・Discover・
マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
(6) 本件に関する専用お問い合わせ窓口
【専用お問い合わせ窓口(メールフォーム)はこちら 】
※上記は不正アクセスに関する専用窓口です。
【お電話でのお問い合せについて】
0120−06−1870(フリーダイヤル)
※お電話での受付時間
月曜日から金曜日は9時〜19時の間
土曜日・日曜日は9時から17時の間
祝日は曜日によって上記の時間で同様にお受けしております。
※固定電話・携帯電話からお掛け頂けます
情報ソース
http://www.bun2.jp/report/news_d.html
PR
この記事にコメントする
