事故から学ぶ

「毎日元気公式ショッピングサイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 有限会社毎日元気

事故概要

業種 民間企業
発生時期 2020/10/9
漏えい人数 238
事故概要

弊社が運営する「毎日元気公式ショッピングサイト」におきまして、第三
者による不正アクセスを受け、お客様のクレジットカード情報(283 件)が漏えいした可能性があることが判明いたしました。なお、クレジットカード情報が漏えいした可能性のあるお客様には、書状にてお詫びとお知らせを個別にご連絡申し上げております。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要および弊社の今後の対応につきまして、下記の通りご報告いたします。

1.経緯
2020 年 10 月 9 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、直ちに弊社が運営する「毎日元気公式ショッピングサイト」でのクレジットカード決済を停止するとともに、第三者調査機関による調査を依頼いたしました。
2021 年 5 月 14 日、調査機関による調査が完了し、2019 年 6 月 28 日~2020 年 10 月 9日の期間に「毎日元気公式ショッピングサイト」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

2.個人情報漏えい状況
(1)原因
弊社が運営する「毎日元気公式ショッピングサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏えいの可能性があるお客様・情報
2019 年 6 月 28 日~2020 年 10 月 9 日の期間中に「毎日元気公式ショッピングサイト」においてクレジットカード情報をご入力されたお客様 283 名に関する以下の情報。
・クレジットカード名義人のお名前
・クレジットカード番号
・クレジットカードの有効期限
・セキュリティコード
上記に該当する 283 名のお客様については、別途、書状にて個別にご連絡申し上げます。
3.お客様へのお願い
大変お手数ですが、2019 年 6 月 28 日~2020 年 10 月 9 日の期間中に「毎日元気公式ショッピングサイト」においてクレジットカード情報をご入力されたお客様は、不正利用などの二次被害を防ぐため、早急にクレジットカード会社へご連絡いただき、該当するクレジットカードの利用停止と再発行のお手続きをお願いいたします。なお、再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼し、その了承を得ております。
弊社では、既にクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めておりますが、お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求内容がないか、今一度ご確認をお願いいたします。もし、身に覚えのない請求内容の記載があった場合は、たいへんお手数ですが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
4.公表が遅れた経緯について
2020 年 10 月 9 日の漏えい懸念から今回のご案内にいたるまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社およびクレジットカード会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は第三者機関の調査会社の調査結果、および監督官庁・所轄警察署との連携を待ってから行う
ことにいたしました。 今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、お客様への被害を最小限に抑えるため「毎日元気公式ショッピングサイト」を閉鎖したうえ、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
「毎日元気公式ショッピングサイト」の再開につきましては、十分な再発防止策が確定次第、改めて弊社公式ホームページ上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2021 年 6 月 2 日に報告済みであり、また、所轄警察署にも 2021 年 6 月 2 日に被
害申告をしており、今後捜査にも全面的に協力してまいります。
6.お客様への対応
本件公表と同時に、該当するお客様に対して、書状にてお詫びとお知らせのご案内をしております。また、本日よりお客様からのお問い合せに対応できるよう、専用のお問い合わせ窓口を設置いたしました。 通話料無料のフリーダイヤルによる電話およびメールにて対応いたします。

引用元 有限会社毎日元気

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

クラウドサービスだからといって不正アクセスを完全防御できるわけではない。重要資産を扱うサービス会社は金になるため最新の手口で集中的に攻撃を受けている。攻撃を受け続けていることへの防御策と、攻撃を突破されたさいの対応策は別物であり、特に後者は被害を最小限度に抑えるために利便性に制限があっても暗号化などの対策は必須である。選択の余地はない。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。