2016年11月10日にカゴヤジャパンというサーバー会社から、こんなメールが届いた。要するに個人情報が流出したとのこと。
2016年11月9日 お客様各位 カゴヤ・ジャパン株式会社 代表取締役 北川貞大 不正アクセスによるお客様契約情報流出に関するお詫びとご報告 このたび、弊社がお客様に提供しております契約情報データベースサーバー に対し第三者による不正アクセスがあったことが発覚し、不正アクセスの全容 解明ならびに被害状況の調査を進めてまいりました。 調査の結果、サーバーに保管していたお客様のご契約情報を含む個人情報が不 正アクセスにより外部に流出した可能性があることが判明いたしました (以下、「本件」といいます)。 本件の詳細につきましては、下記のとおりご報告いたしますとともに、お客様 ならびにご関係者の皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、 ここに深くお詫び申し上げます。 記 1.事案概要 (1)流出の対象期間 2015年4月1日~2016年9月21日 ※脆弱性があった期間を想定 (2)原因・不正アクセスの手口 第三者の不正アクセスにより、OSコマンドインジェクション(※)の脆弱性 を利用されて、DBサーバー内の情報を不正取得された。 (※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を 受け付けるようなWEBサイトでプログラムに与えるパラメータにOSに対す る命令文(コマンド)を紛れ込ませて不正に操作する攻撃のことです。 (3)流出の規模(疑いを含む) ①個人情報の件数 48,685件(=人数) ※2016年9月21日までに弊社をご利用いただいた全てのお客様が対象となり ます。(すでに解約されたお客様を含みます。) (4)流出した情報(疑いを含む) ①氏名 ②住所 ③電話番号 ④メールアドレス ⑤ご契約アカウント名・パスワード 2.発覚と対応の経緯 (1)2016年9月16日、社内スクリーニング(ふるい分け選別調査)の結果、 複数のお客様サーバーにプログラムファイルがアップロードされている状況 が判明いたしました。社内調査を進めた結果、第三者から弊社システムの データベースサーバーへ不正侵入された形跡を確認し、お客様のパスワード が流出した可能性があることが判明いたしました。 (2)被害拡大防止のため、緊急対策といたしまして、弊社で流出した可能性の あるパスワードを全て変更し、個別にご案内させていただきました。 (3)不正アクセスの全容解明および被害状況の把握に向け、社内調査を進める とともに、外部の専門調査会社である「Payment Card Forensics株式会社」 (以下、「PCF社」といいます。)に依頼し、調査を実施しました。 (4)2016年10月24日、PCF社より調査結果報告を受領しました。同社の報告を 受け、個人情報等の流出の疑いが確定しました。 3.弊社の対応 (1)お客様への対応 ①情報流出対象のお客様に、電子メールおよび郵送にて、お詫びと注意喚起 を直接ご案内させていただいております。 ②お客様からのお問い合わせに対応できるよう、特設窓口を設置いたしました。 (2)関係官庁への報告 個人情報認定保護団体、総務省(近畿総合通信局)および経済産業省に報告 を行いました。 (3)警察への報告 京都府警察サイバー犯罪対策課に報告を行いました。 (4)不正アクセスの監視強化 本件発覚以降、各種監視を強化し、継続監視中です。なお、現在、不正アク セスは確認されておりません。 (5)セキュリティ対策の強化 発覚以降、不正アクセスによる情報流出のないよう、不正ファイルの設置が できないように制限するとともに、ファイルアップロードエリアの監視を強 化いたしました。 4.お客様へのお願い (1)本件に関するメールにはファイルを添付してお送りすることはございませ ん。不審なメールについては、メール及び添付ファイルの開封を控えるなど、 くれぐれもご注意くださいますよう、お願いいたします。 (2)お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡 をお願いいたします。警察および関係官庁と連携し、誠実に対応を進めてま いります。 5.再発防止策(セキュリティ対策の強化) 弊社は、二度と同様の事案を起こすことのないよう、発覚以降に実施してお りますセキュリティ対策に加え、外部に開放されていないシステムを含め、 各種対応を実施してまいります。 (1)個人情報管理に対する意識の徹底と個人情報保護マネジメントシステム (PMS)の的確な実施 (2)情報セキュリティ管理体制および情報セキュリティインフラの整備と強化 また、ネットワーク上のふるまい検知など、新技術を利用した不正侵入対策 の導入を検討中でございます。 弊社は本件の発生を受け、今後も継続してセキュリティの高いシステム構築 を推進して参りますとともに、新技術も取りいれた多層化多重化による防御策 を実行し、不正アクセス等の早期発見、早期対応に努めてまいります。 このたびは、お客様ならびにご関係者の皆さまに、多大なるご不安ご迷惑を お掛けしておりますことを重ねてお詫び申し上げます。 =================================== 【本件に関するお問い合わせ先】 <お客様情報流出事案 お問い合わせ専用ダイヤル> フリーダイヤル: 0120-102-291 (平日:月~金 10:00~18:00) メールアドレス: support@kagoya.com ※操作説明や障害など、当社サービスに関するお問い合わせ時間と異なります のでご注意ください。 ※複数の回線を用意しておりますが、つながりにくい状況が想定されます。 電子メールでもお問い合わせに対応させていただきますので、お電話がつな がりにくい場合は電子メールでのご連絡もご活用ください。 ===================================
後日、郵便物でも同様の内容の文書が届いた。
ところが、SNSで流れている情報と内包物が異なるので、カゴヤジャパンにメールで問い合わせてみた。
カゴヤジャパンサポートセンター御中 本日、重要書類として報告書を受領しました。 ただ、SNS等で見る限り、内包物において差違が見られるようですので、その差 違についてお知らせいただけますと幸いです。 SNS等では報告書と共にクオカードが内包されていたという報告を数多く目にし ていますが、私共へ届いた郵便物には内包されていませんでした。 個人情報漏洩という点について差違はないはずですが、内包物に差違があるのは 何故なのでしょうか? 詳細をお知らせ頂けますようお願い致します。
翌々日に回答が返ってきたのだが、そこには驚愕の事実が隠されていたことが判明した。
カゴヤ・ジャパン サポートセンター ◯◯ です。 平素は当社サービスをご利用いただき誠にありがとうございます。 このたびは不正アクセスによるお客様契約情報流出につきまして、 ご迷惑をおかけいたしておりますことをお詫びいたします。 クオカードは、カード情報の流出が疑われるお客様へお送りしております。 個人情報の漏洩という観点では、全てのお客さまへご迷惑をおかけしていることに 変わりございませんが、クレジットカードをご利用のお客様には 万が一の不正利用の確認や、カード再発行の手続きなどの負担をお願いするため 今回の対応となりました。 何卒ご理解いただきますようお願いいたします。 この度はご迷惑をおかけし大変申し訳ございません。 今後とも何卒よろしくお願いいたします。
カゴヤジャパン的には個人情報漏洩に関してランク分けをし、クレジットカード情報が漏洩した人に対しては「500円のクオカード」を謝罪の品として同梱したけれども、それ以外の人には同梱していない(=謝罪しない)という事のようだ。まぁ、500円で済む問題かどうかは別にしても、個人情報を漏らした(しかも、サーバー会社としてあるまじき脆弱性で)にも関わらず、謝罪するしないというランク分けをしたというのは対応としてどうなのかな?と思う。
ちなみに、今回漏洩した私の個人情報についてですが、こういう事実もあります。
実はカゴヤのサーバーは「2005年6月22日」に解約が完了しています。にも関わらず、11年半という長きにわたって個人情報を保持し続けたあげくに漏洩させたと言うことなのです。解約したユーザーについて「解約後11年半経っても個人情報を保持し続けた」という点においては一切の謝罪はありません。これは企業としてどうなのでしょうかねぇ。
おそらく、クレジットカード情報が漏洩していない人というのは、殆どが「解約後、長期に渡って個人情報を保持され続けた人」なのではないでしょうか。そういう、個人情報管理の不手際を棚に上げて「企業として謝罪しません」というのは、あってはならない態度だと思うのですが…
コメント