事故から学ぶ

弊社が運営するオンラインショップへの不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 株式会社龍村美術織物

事故概要

業種 株式会社龍村美術織物
発生時期 2020/10/28
漏えい人数 941
事故概要

このたび、弊社が運営しておりますウェブサイト「龍村美術織物オンラインショップ
(https://www.tatsumura.co.jp/shop-jp/)」(以下、「当該サイト」といいます)におきまして、システムの一部の脆弱性を突いた第三者による不正アクセスを受け、お客様のクレジットカード情報(941件)が漏洩した可能性があることが判明いたしました(以下、「本件」といいます)。個人情報等が流出した可能性のあるお客さまには、メールにて経緯説明とお詫びのご連絡を開始しております。
本件に関する事案概要と弊社の対応につきまして、下記のとおりご報告いたします。

1.事案概要
(1)漏洩した可能性がある情報
①クレジットカード情報
当該サイトでクレジットカード決済をご利用されたお客様で、決済画面で⼊⼒いただいた以下の情報
・クレジットカード会員の氏名(名義人様氏名)
・クレジットカード番号
・クレジットカード有効期限
・セキュリティコード
②会員様情報
当該サイトにご登録いただいているお客様(会員様)の以下の情報
・ログインID
・ログインPASS(2)漏洩の規模(最大可能性)
①クレジットカード情報の件数
2019年11月25日〜2020年10月28日の間に、当該サイトでクレジットカード決済をご利用されたお客様の内、941名のクレジットカード情報
②会員様情報
会員登録されているお客様の内、2019年11月25日〜2020年10月28日の間に、当該サイト
購入手続きをされたお客様793名の会員情報
(3)原因
弊社が運営する当該サイトのシステムの一部脆弱性を突いた第三者の不正アクセスによって、決済モジュールの改ざんが行われたため。
2.発覚と対応の経緯
(1)2020年10月28日、クレジットカード決済代行会社より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日、当該サイトでのクレジットカード決済を停止いたしました。また、本件の全容解明および被害状況の把握に向け、社内調査を進めるとともに、第三者の専門調査会社による、調査を実施いたしました。(2)2020年12月9日、第三者の専門調査会社の指摘により、情報流出の原因である不正
プログラムを除去しました。
(3)2020年12月25日、第三者の専門調査会社の調査が完了し、当該サイトで購入されたお客様クレジットカード情報が漏洩した可能性があることを確認いたしました。以上の事実が確認できたため、クレジットカード決済代行会社と協議のうえ、本日の発表に至りました。
(4)公表が遅れた経緯につきまして、2020年10月28日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、カード会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
3.弊社の対応
(1)お客様への対応
2021年3月11日より、クレジットカード情報流出の可能性があるお客様と会員情報流出の可能性があるお客様にメールにて、お詫びと注意喚起を直接ご案内させていただいております。
また同日より、お客様からのお問い合わせに対応できるよう、専⽤コールセンターを設置いたしました。
(2)行政機関への報告2020年12月18日、個人情報保護委員会に報告いたしました。
(3)警察への報告
2020年12月23日、所轄の警察署である京都府警察右京警察署に報告いたしました。
4.お客様へのお願い
(1)身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ、不正利用の監視強化を依頼しております。万が一、カード明細書に身に覚えのない請求がございました場合は、お手数ではございますが、クレジットカード裏面に記載のカード発行会社へお問い合わせいただきますようお願い申し上げます。
(2)カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。なお、カード再発行の手数料につきましては、お客様のご負担にならないようカード会社へ依頼しております。
(3)会員登録いただいているお客様の、現在設定されているログインIDおよびログインPASSにつきましては、2020年10月28日以降、オンラインショップを外部から遮断して、アクセスが出来ない状態を保持しております。オンラインショップの再開等、今後の状況に伴い、ログインIDおよびログインPASSについての再設定等に関しては、改めてご案内させて頂く予定でございます。
(4)お客様にお心当たりのない不審な点等がございましたら、弊社専⽤コールセンターまでご連絡をお願い申し上げます。警察および関係官庁と連携し、誠実に対応を進めてまいります。
5.再発防止策
今後⼆度と同様の事案を起こすことのないよう、以下の取り組みを行い、当該サイトのセキュリティ強化に努めてまいります。なお、情報流出の原因となった不正プログラムについては、2020年12月9日に除去が完了しております。
(1)決済方式の変更を含め、セキュリティレベルの高いサイトへの再構築を進めてまいります。
(2)システムの脆弱性診断を定期的に実施し、セキュリティ対策を強化して参ります。(3)脆弱性対策として必要なプログラムの修正や適切な対処を実施、監視体制を強化してサイトの運⽤を行ってまいります。
なお、「龍村美術織物オンラインショップ」の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

引用元 株式会社 京・月待庵

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

このところ不正アクセスによる被害が増加している。不正アクセスによる被害は色々あるが、侵入されてしまったあとでは、漏えいした情報を回収できず漏えい対象者の心理的不安と、のちに何らかの実害が生じることがあり、経過を注意深く見ていく必要がある。
アカウント情報を盗まれ、当該アカウントからスパムメールを送るというのも常態化しているので、大量のメール発信をし続ける状態を検知する仕組みを入れておく必要もある。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。