事故から学ぶ

弊社が運営する「ひでじビールオンラインショップ」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ

事故概要

業種 ECサイト
発生時期 2020/6/23
漏えい人数 1181
事故概要

このたび、弊社が運営する「ひでじビールオンラインショップ」(現在は運用停止中)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(1181件)の一部が流出した可能性があることが判明いたしました。
なお、個人情報が流出した可能性のあるお客様には、本日より、電子メール又は書状にてお詫びとお知らせを個別にご連絡申し上げております。

1.経緯
2020年6月23日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2020年6月24日弊社が運営する 「ひでじビールオンラインショップ」でのカード決済を停止いたしました。
同時に、第三者調査会社によるデジタルフォレンジック調査(注)も開始いたしました。
2020年8月18日、調査が完了し、2019年6月5日~2020年7月3日の期間に 「ひでじビールオンラインショップ」で購入されたお客様のクレジットカード情報の一部が流出した可能性があることを確認いたしました。
現時点では不正利用された報告は入っておりませんが、調査会社の調査により上記の事実が確認できたため、本日の発表に至りました。
2.個人情報流出状況
(1)原因
弊社が運営しておりました「ひでじビールオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスによるものです。
弊社社内、またサーバー上ではお客様のクレジットカード情報は保有しておらず、手口としてはオンラインショップの決済時の情報入力画面にて、不正に設置された偽のカード情報入力画面が現れ、偽画面に入力を行った場合に情報が盗まれるという不正プログラムが設置されていました。
(2)個人情報流出の可能性があるお客様
2019年6月5日~2020年7月3日の期間中に「ひでじビールオンラインショップ」においてクレジットカード情報入力画面にカード情報を入力されたお客様1181名で、流出した可能性のある情報は以下の4点です。
・クレジットカード名義
・クレジットカード番号
・クレジットカード有効期限
・セキュリティコード
上記に該当する1181名のお客様については、別途、電子メール又は書状にて個別にご連絡申し上げます。
また上記に加え、偽の決済フォームにてクレジットカード情報を入力されたものの、購入にいたらなかったお客様、および偽の決済フォームのみに入力されたクレジットカード情報も流出した可能性がございますが、特定はできておりません。
尚、オンラインショップ内の「ご注文画面」で入力されたお客様のご住所、お電話番号などの個人情報は流出しておりません。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
※特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。
4.公表までに時間を要した経緯について
2020年6月23日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、カード会社等と協議する中で、調査会社による「情報流出の有無」「原因」「影響範囲」が特定される前の不確定な情報の公開はいたずらに混乱を招いてしまう為、お客様へのご迷惑を最小限に食い止める為の対応準備を整えてからの告知が重要であるとのアドバイスに基づき、最終調査結果の確定およびカード会社との連携・承諾を待ってから行うこととなりました。
今回の公表までお時間を要しましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムの変更を致します。
また、現行のシステムの改修、バージョンアップ等では現時点においてセキュリティ体制が不十分と判断し、「ひでじビールオンラインショップ」としての運用を終了し、オンラインモール(Yahoo!ショッピング)での運用のみと致します。
また、弊社は今回の不正アクセスにつきまして、所轄警察である宮崎県警にも2020年8月18日に被害申告しており、今後捜査にも全面的に協力してまいります。また監督官庁である個人情報保護委員会には2020年8月27日に報告しております。
弊社では今年3月より、新型コロナウイルス感染拡大による市場の低迷、売上の減少が続く中、何とか前に進むべく、オンラインショップでの各種キャンペーン、またチャリティー企画等様々な取り組みを行ってまいりました。
様々な取り組みに共感頂き、また応援、ご注文を頂き、何とか前に進んでおりますこの時期に、お客様の大切なカード情報を不正取得される事態を招き、大変なご迷惑をおかけしてしまいましたこと、痛恨の極みでございます。
本来であればお一人お一人にお電話でご連絡差し上げたい所ですが、流出が懸念される範囲が多く、また対応の回線を確保するためにも、メール、書面でのご連絡となります事、心よりお詫び申し上げます。
先にお伝えしております通り、現在カード会社によるモニタリングを依頼し不正利用の防止に努めておりますが、今後の被害防止の為にも、大変お手数をおかけいたしますが、利用状況のご確認、カード会社への再発行の依頼を重ねてお願いいたします。

引用元 宮崎ひでじビール株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

近年、不正アクセスの手口も巧妙化しており、日々対応が必要であるが、一般的な対応と専門家に指導を受けたサービス会社での対応の2種類がある。
一般的な対応でも確実に行っていれば大半は防げるが、問題なのは100点を取らないと不正アクセスされてしまう点である。扱う情報の重要度に応じて適切な投資をしてより堅固な対応をタイムリーに行う必要がある。

具体例:

専門家による不正アクセスの原因の調査及び再発防止策等の検討
・不正アクセスをした第三者の特定及び被害の発生・拡大防止のため、警察当局への相談
・外部の専門家の助言も踏まえ再発防止の構築
とあるので、より堅固な対策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。