事故から学ぶ

不正アクセスによるお客さま情報漏えいに関するお詫びとご報告 SNKRDUNK

事故概要

業種 民間企業
発生時期 2022/6/7
漏えい人数 2753400
事故概要

この度、弊社が提供するCtoCマーケットプレイス「SNKRDUNK」において、外部から不正アクセス(サイバー攻撃)を受け、一部お客さまの個人情報が外部漏えいした可能性があることが判明いたしましたので、お知らせいたします。
なお、既に関係機関と連携し、外部セキュリティ専門家の協力を得ながらセキュリティ強化に取り組み、一次対応(詳細は後述の、4.現時点で実施済の措置をご参照ください。)については6月10日までに完了しております。また、現時点におきまして今回の事案に関わる個人情報の不正流用等の事実は確認されておりません。

お客さまの大切な個人情報をお預かりしていたにも関わらず、このような事態に至り、お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけしますことを心よりお詫び申し上げます。
引き続き、関係機関との連携、外部セキュリティ専門家の協力の基、再発防止策の検討を含めたさらなるセキュリティ強化に取り組んでおり、併せて本件に関する調査を継続し、新たにご報告すべき内容が判明した場合は、速やかにご報告いたします。

本件により漏えいした可能性のある情報の対象となる方々へは、本発表と同時に速やかに弊社より個別のご案内を実施していくほか、本件に関するお問い合わせ専用窓口も設置しております。

本件の経緯や対応について、以下の通りご報告いたします。

1.経緯
6月7日、SNKRDUNKのデータベースへの不正アクセスが発覚し、直ちに確認を行なった結果、一部お客さまの個人情報が漏えいしている可能性が判明いたしました。速やかに該当箇所へのセキュリティ対策を実施し、個人情報保護委員会への報告及び、警察署への第一報と被害相談を行い、このたびのご報告に至りました。
2.漏えいした可能性がある情報
・対象:「SNKRDUNK」に会員登録された一部のお客さま(対応については後述の、6.お客さまへの対応について をご参照ください)
・項目:氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(復号できないハッシュ化された状態)
・件数:2,753,400件
※全体の過半数となる約6割のお客さまについては、生年月日、メールアドレス、パスワード(復号できないハッシュ化された状態)のみが漏えいした可能性があります。
※漏えいした可能性がある口座情報は10件です。
※クレジットカード番号や本人確認書類に関しましては、本件に該当しておりませんのでご安心ください。
3.原因
不正なリクエストに対するDBデータを含めたレスポンス

4.現時点で実施済の措置
■ セキュリティ対策
・不正アクセス元をブロックし、対象URLにてレスポンスにエラー内容を含めないよう対処
・同様のリクエストに対し、他URLでもレスポンスにエラー内容を含めないよう対処
・WAFを導入し、不正アクセスのリクエストをブロック
・外部セキュリティ専門家にて改めてSNKRDUNKの脆弱性診断
・不正アクセスの監視強化
※海外にて利用可能なSNKRDUNK(英語版)については、本件での影響はございません。
■ 漏えいの対象となる一部お客様へのご案内と専用窓口の設置
本件により情報漏えいが確認されたお客様へは、本発表と同時に弊社より個別のご案内を実施しております。また、本件に関する専用のお問い合わせ窓口も設置しております。

■ 個人情報保護委員会、警察等への報告及び相談
個人情報保護委員会へ速報の提出及び、警察署へ第一報と被害相談を完了し、被害の拡大防止に向けた連携を随時行っております。

5.今後の対応について
外部セキュリティ専門家の協力を得ながら、再発防止策の検討を含めたさらなるセキュリティ強化に取り組んでおり、併せて本件に関する調査を継続し、新たにご報告すべき内容が判明した場合は、速やかにご報告いたします。
また、本件の影響を最小限にすべく、関係機関と連携しながら率先して対応を行ってまいります。
6.お客さまへの対応について
本日6月15日、対象となるお客さまには弊社よりお詫びとお知らせに関する電子メールを送付し、弊社企業情報サイトおよびSNKRDUNK公式サイト上にも同内容を掲載しております。
また、本件により情報漏えいの可能性があるお客様へは、本件経緯・状況のご説明及び、専用のお問い合わせ窓口へのご案内をしております。
なお、ご不安な場合にはパスワードを変更いただきますようお願い申し上げます。
お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけしますことを心よりお詫び申し上げます。

引用元 SNKRDUNK

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。
企業や団体のSNSアカウントは、公開情報の発表や周知のために利用されることが多いが、今回のように顧客とのメッセージのやりとりなどを通して個人情報を取り扱うケースもある。加えてSNSアカウントの担当者が複数人いるケースでは、アカウント情報の取り扱いも複雑になり事故のリスクが高まる。SNSのビジネス向けの機能を活用して、アカウントを適切に管理したり、最低限の個人情報の取得・保管にとどめるなど注意が必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。