調査結果のご報告
調査の結果、情報漏えいの原因がサーバーのバージョンアップに伴う機器の入替の際に、新規サーバーのソフト入替における試験コマンドが一部削除できていなかったことから、一般に閲覧できる状態ではありませんでしたが、お客様から、ある特定の操作が行われた場合には、当時弊社データベースに登録されていた顧客情報がみえてしまう状態になってしまっていたものと考えられます。
当時は外部からの攻撃や侵入による情報漏えいの可能性も考えられたため、第三者機関による調査など原因の特定に努めさせていただいておりました。その過程で弊社サーバーシステムなどに一部脆弱性の認められたところもあると指摘されたことから、セキュリティ機器の追加導入など徹底したセキュリティ対策を随時施しましたが、外部からの侵入の形跡は第三者機関(セキュリティ調査会社)でも発見されませんでした。
漏えい原因の可能性が確認された11月16日以降、2月21日現在までの間は、外部からの攻撃による侵入や情報漏えいの形跡は発見されておりません。
大変ご迷惑・ご心配をおかけしましたことを重ねてお詫び申し上げます。
| (1)顧客情報閲覧可能時期 |
| |
2010年10月28日(木)午前1時頃〜11月16日(水)午前1時頃 |
| |
|
| (2)情報漏えいの可能性のある件数 |
| |
197,077名様分(11月16日時点のご登録件数) |
| |
|
| (3)情報漏えいの可能性のある項目 |
| |
会社名、氏名、郵便番号、住所、電話番号、緊急連絡先、FAX番号、メールアドレス |
| |
|
| (4)対策内容 |
| |
前回実施致しました対策「セキュリティ機器(WAF)の導入による外部からの攻撃の検知と遮断」に加え、今回以下の対策を実施致しました。 |
| |
|
| (a)Webサイト運用の体制強化 |
| |
試験プログラムの運用ルールを含め、Webサイトを運用するために必要となるセキュリティ規約を強化し、社員に対して教育を実施し、徹底いたしました。
また、社内に専門のチェック部門を設けて、Webサイトリリース前のチェック体制を確立しました。
上記により、今回のような修正コードの削除未了等よる情報漏えいを防ぐことで、再発防止策とさせていただきました。 |
| |
|
| (b)Webサイトの脆弱性の洗い出しと対策 |
| |
Webアプリケーションの脆弱性診断を行い、アプリケーションレベルの改修、改善も同時に対策を行い、セキュリティレベルの向上を図りました。
上記対策を実施した結果、新規ユーザー様のご登録につきまして、弊社Webサイトの機能を全て再開することに問題ないと判断し、再開させていただきました。
なお、上記対策を実施の後、第三者機関(セキュリティ調査会社)による再診断を受け、脆弱性の対策がなされ安全性が確認されましたことを併せてご報告申し上げます。また、今後も信頼回復のため、引き続きセキュリティ対策を継続して実施する予定でございます。 |
| |
|
| 重ねて、お客様をはじめ、関係の皆様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。 |
| |
| |
【本件に関するお問い合わせ窓口】
フリーダイヤル:0120-995-954(専用ダイヤル)
メール:個人情報に関するお問合せフォーム
※ 受付時間 平日:午前9時から午後9時まで
土・日・祝日:午前9時から正午まで/午後1時から午後5時まで |
|
