事故から学ぶ

弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 ライトオン

事故概要

業種 民間企業
発生時期 2021/10/27
漏えい人数 247600
事故概要

この度、弊社が運営するライトオン公式オンラインショップに対し、外部からの不正アクセスがあり、弊社が保有するお客様の個人情報 (ライトオンメンバーズ情報) が流出したことが確認されました。
なお、流出したお客様の個人情報にクレジットカード情報、弊社公式オンラインショップのパスワードは含まれておらず、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。
今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたしますとともに、お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。
1.不正アクセスの状況
2021年10月27日に弊社公式オンラインショップに対する不正アクセスが確認され、調査をいたしましたところ、2021年10月23日から第三者による不正アクセスを断続的に受けた形跡を確認いたしました。そのため、10月28日にセキュリティ対策の強化を実施しましたが、翌29日にふたたび不正アクセスが確認されたため、あらたなセキュリティ対策の強化と不正アクセス元からの通信遮断を行いました。

2.流出が確認された個人情報について
弊社公式オンラインショップならびに店舗メンバーズサービスのご利用に際して、会員登録フォームよりご登録いただいたライトオンメンバーズ情報のうち、247,600人分。
対象となる個人情報:氏名、電話番号、住所、生年月日、性別、メールアドレス
※クレジットカード情報は含まれておりません。
個人情報の流出が確認されたお客様には個別にご連絡をいたしました。
3.経緯および対応について
10月27日(水) アクセス数の異常を検知
10月28日(木) 不正アクセスが判明し情報が流出する可能性を確認。セキュリティ強化の緊急措置を実施
10月29日(金) セキュリティ強化の対策と不正アクセス元からの通信遮断など緊急措置を実施
10月30日(土) 調査により流出した情報にお客様の個人情報が含まれていることが判明
11月3日(水) 警察へ通報。個人情報保護委員会へ報告
11月4日(木) お客様問い合わせ窓口の設置
11月4日(木) 個人情報の流出が確認されたお客様へ個別のご案内
4.今後の対応と再発防止策について
不正アクセスに対するセキュリティ強化の対策を徹底するとともに、監視体制のさらなる強化を図ります。また、第三者による弊社セキュリティ体制の監査を行い、再発防止に努めてまいります。なお、本件に関して今後新たな情報が判明した場合には、随時お知らせいたします。
5.お客様へのお願い
弊社オンラインショップをご利用のお客様は、不正ログインを防止するため、以下の点にご協力をお願いいたします。
•第三者が容易に推測できるパスワードを使用しない。
今回、パスワード情報の流出はございませんでしたが、容易に推測できるパスワードは不正ログインの対象となる可能性がありますので、より複雑なパスワードに変更下さいますようお願いいたします。
弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正アクセスの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります。

引用元 ライトオン

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。