事故から学ぶ

「東映ビデオ オンラインショップ」への不正アクセス事象に関する お詫びとお知らせ

事故概要

業種 映像制作
発生時期 2019/5/27-2020/5/11
漏えい人数 10021
事故概要

このたび、弊社が運営する「東映ビデオ オンラインショップ(https://shop.toei-video.co.jp/)」(以下、「当該サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(10,395件)が漏えいした可能性があることをカード会社より指摘を受けました。
なお、クレジットカード情報が漏えいした可能性があると指摘を受けたお客様には、本日より、電子メールまたは書状、あるいはその両方にてお詫びとお知らせを個別にご連絡申し上げております。

1. 経緯
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
同日、情報漏えいの事実確認のため、第三者機関に対してフォレンジック調査を依頼し、調査を開始いたしました。
2020年5月29日、第三者機関による調査が完了し最終報告書を受領いたしました。調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
2. 漏えいの可能性があるカード状況
(1) 原因
システムの一部の脆弱性をついたことによる第三者の不正アクセス。
(2) カード情報漏えいの可能性があると指摘を受けているお客様
2019年5月27日から2020年5月11日までの期間に当該サイトにおいてクレジットカード決済をされた最大10,021名(10,395件)のお客様。
クレジットカードの不正利用による被害等の発生状況から、カード会社と協議の上、上記期間にクレジットカード決済をされたお客様をご連絡の対象としました。漏えいした可能性があると指摘を受けているクレジットカード情報は次の通りです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
3. 公表が遅れた経緯について
2020年5月11日当該サイトからカード情報が漏えいしている可能性がある旨指摘を受けた時点から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いが生じた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきでしたが、カード情報の漏えいの有無についてカード会社等と見解の相違がある中、不確定な情報の公開はいたずらに混乱を招くため、お客様へのご迷惑を最小限に食い止められる対応準備を整えた上での告知が不可欠であると判断し、発表はカード会社と協議を重ねその連携を整えてから行うことにいたしました。
4. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性があると指摘を受けているクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
5. 再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて現行システムの破棄、サーバーを含めたシステムの移行、および監視体制の強化を行い、再発防止を図ってまいります。
システム移行後の当該サイトの再開日につきましては、決定次第、改めて「東映ビデオ公式Webサイト(https://www.toei-video.co.jp/)」上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2020年6月25日に報告済みであり、また、所轄警察である築地警察署にも2020年6月16日に報告済みです。
6. 東映ビデオ株式会社以外のグループ会社における情報漏えいの懸念について
漏えいした可能性が指摘される情報は、東映ビデオ株式会社がオンラインショップの運営上利用していたものであり、東映株式会社をはじめ、他のグループ会社が保持ないし利用するデータは一切含まれておりません。

引用元 東映ビデオ株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

近年、不正アクセスの手口も巧妙化しており、日々対応が必要であるが、一般的な対応と専門家に指導を受けたサービス会社での対応の2種類がある。
一般的な対応でも確実に行っていれば大半は防げるが、問題なのは100点を取らないと不正アクセスされてしまう点である。扱う情報の重要度に応じて適切な投資をしてより堅固な対応をタイムリーに行う必要がある。

具体例:

専門家による不正アクセスの原因の調査及び再発防止策等の検討
・不正アクセスをした第三者の特定及び被害の発生・拡大防止のため、警察当局への相談
・外部の専門家の助言も踏まえ再発防止の構築
とあるので、より堅固な対策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。