【セキュリティ事件簿#2024-329】シャープ株式会社 シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」における不正アクセスによる個人情報流出に関するお詫びと調査結果のお知らせ 2024/10/30

 

2024年7月29日に公表いたしました、シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」における不正アクセスに関しまして、2024年7月22日に「COCORO STORE」への不正アクセスによる改ざん事象を検知し、同日、「COCORO STORE」・「ヘルシオデリ」のサービスの提供を停止のうえ、カード決済を停止しておりました。サービスの提供の停止以降、影響範囲および原因の特定に向け、外部専門機関により詳細を調査してまいりました。

2024年10月16日、調査機関による調査が完了し、不正アクセスの詳細が明らかになり、個人情報流出の可能性があるお客様は、2024年7月29日に公表しました影響を受けた可能性のある最大約10万人のお客様の内、5,836人のお客様であることがわかりました。その内、4,257人のお客様につきましてはクレジットカード情報を含む個人情報が流出した可能性がございます。以上の事実が確認できたため、本日の発表に至りました。

お客様や関係者の皆様に、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

調査結果をふまえまして、対象のお客様には、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。

1. 不正アクセスに関する外部専門機関による調査内容と調査結果について

(1)調査内容

外部専門機関(フォレンジック機関(PFI))により、国際的なセキュリティ基準(PCI DSS)において、当社のデジタルデータを扱うPCやサーバ、ネットワーク機器等に蓄積されたログ・状態を調査し、発生事象の割り出し、不正アクセスの影響範囲および証拠となるデータの特定を行いました。

(2)調査により判明した事実

2024年7月29日に公表しましたとおり、「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因であることが確認されました。

脆弱性を悪用され、一部の注文情報*が第三者により取得され、203人の個人情報(クレジットカード情報は含まれておりません)が流出したこと(2024年7月29日公表の通り)が、本調査によりあらためて確認されました。

加えて、2024年7月19日4時19分~2024年7月22日10時50分**の期間に、第三者により「COCORO STORE」のウェブサイトが改ざんされ、クレジットカード情報やその他の個人情報を入力し、かつ注文を確定した場合に、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが判明しました。その結果、当該期間に、「COCORO STORE」においてクレジットカード情報や個人情報を入力し、かつ注文を確定した場合、その情報が外部へ不正に転送された可能性があることが判明しました。

なお、今回の改ざんは不正なスクリプトが埋め込まれている条件の下で動作するものであり、当該期間中に「COCORO STORE」以外のサイトで入力した情報、もしくは当該期間以降に「COCORO STORE」や他のサイトで入力する情報については、流出の可能性はございません。

脆弱性に対して行われた攻撃はすでに排除しており、脆弱性に対するソフトウェアアップデートも実施済です。

* 2024年6月30日の「COCORO STORE」および2024年6月23日~6月30日の「ヘルシオデリ」における一部の注文情報です。

**日時は「JST 日本標準時 UTC+0900」で記載しております。

(3)対象となるお客様、個人情報、人数について

①個人情報が流出したお客様 合計203人[2024年7月29日公表]

 

お客様

個人情報

人 数

2024年6月30日に「COCORO STORE」、2024年6月23日~30日に「ヘルシオデリ」でご注文されたお客様の一部および、これらのご注文において、お客様のご登録住所と配送先住所が異なるご注文をされたお客様 

氏名、郵便番号、住所、電話番号、 メールアドレス等の注文情報

・クレジットカード情報は含まれておりません。

203人

 


 

②クレジットカード情報流出の可能性があるお客様 [今回の調査で確認]


お客様

個人情報

人 数

2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定されたお客様

カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード

4,257人


③個人情報流出の可能性があるお客様 [今回の調査で確認]


お客様

個人情報

人 数

2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、個人情報(クレジットカード情報を除く)を入力し、かつ注文を確定されたお客様

住所、氏名、電話番号、メールアドレス、パスワード

・クレジットカード情報は含まれておりません。

1,376人

  

上記に該当する5,836人のお客様については、別途、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。

2. お客様へのお願い

すでに当社では、クレジットカード会社と連携のうえ、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合、たいへんお手数でございますが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、あわせてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当社よりクレジットカード会社に依頼しております。

3. 再発防止策ならびに当社が運営するサイトの再開について

当社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止に努めてまいります。

(1)システムのセキュリティ対策

今回の直接の原因であった脆弱性について、脆弱性の早期発見および早期対策の実施体制を強化しました。

(2)監視体制の強化

脆弱性があった場合においても、侵入検知システムの追加等、多層のセキュリティ対策を含めた監視体制を強化しました。また、セキュリティに関するルールの見直し、定期的な自己診断内容の強化等も併せて実施しております。

また、当社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月26日に報告済みであり、また、所轄警察である大阪府警察本部にも2024年7月26日届出しており、今後調査にも全面的に協力してまいります。

なお、シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」は、準備が整い次第、再開予定です。再開が決定次第、改めてWebサイトでお知らせいたします。ご不便をおかけし申し訳ございませんが、今しばらくお待ちくださいますようお願い申し上げます。

リリース文アーカイブ

【2024年7月29日リリース分】

リリース文アーカイブ

【2024年7月23日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-479】株式会社カレルチャペック 弊社が運営する「カレルチャペック紅茶店公式通販サイト」への不正アクセスによる 個人情報漏えいの恐れに関するお詫びと調査結果のご報告 2024/10/30

 

このたび、弊社が運営する「カレルチャペック紅茶店公式通販サイト」におきまして、第三者による不正アクセスを受け、お客様の個人情報(103,289件)およびクレジットカード情報(延べ58,407件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には改めて郵送でご連絡申し上げます。

情報漏洩が確認された「カレルチャペック紅茶店公式通販サイト」は閉鎖しておりますが、弊社では今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年5月22日、システム会社から弊社運営サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年5月30日「カレルチャペック紅茶店公式通販サイト」を停止し、関係各所に確認後2024年6月5日に弊社ホームページにてご案内いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年9月9日、調査機関による調査が完了し、2020年4月26日~2024年5月21日の期間に「カレルチャペック紅茶店公式通販サイト」に登録されたお客様の個人情報及び同期間に使用されたお客様のクレジットカード情報を漏洩懸念対象と結論付け、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

「カレルチャペック紅茶店公式通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報漏洩の可能性があるお客様

2020年4月26日~2024年5月21日の期間中に「カレルチャペック紅茶店公式通販サイト」においてクレジットカード決済をされたお客様58,407名※で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

 ※漏洩人数は複数回クレジット決済されたお客様を含めた延べ人数です

(3) 個人情報漏洩の可能性があるお客様

2020年4月26日から2024年5月21日の期間中に「カレルチャペック紅茶店公式通販サイト」において会員登録をされたお客様103,289名で、漏洩した可能性のある情報は以下のとおりです。

・ 氏名

・ 住所

・ 電話番号

・ 生年月日

・ メールアドレス

・ ログインID

・ ログインパスワード

・ 配送先情報

上記の(2) (3)に該当するお客様については、別途、電子メールまたは書面にて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認とお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

誠に恐縮ではございますが、お客様におかれましてもクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)その他の個人情報について

お客様のもとに差出人や件名に心当たりのない不審なメールが届いた際には、ウイルス感染や不正アクセス等の危険がございますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2024年5月22日の漏洩懸念から今回の案内に至るまで時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の報告までにお時間をいただきましたこと、重ねて深くお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「カレルチャペック紅茶店公式通販サイト」は新システムにて再開予定でございます。

再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月28日より複数回報告済みであり、また、所轄警察署にも弊社から連携しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-348】株式会社協和 弊社が運営する「ふわりぃ公式オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/10/29

 

このたび、弊社が運営する「ふわりぃ公式オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(16,396名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年7月17日、警視庁サイバー犯罪対策課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年7月17日弊社が運営する「ふわりぃ公式オンラインショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年8月23日、調査機関による調査が完了し、2021年3月28日~2024年7月17日の期間に 「ふわりぃ公式オンラインショップ」で購入されたお客様クレジットカード情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「ふわりぃ公式オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年3月28日~2024年7月17日の期間中に「ふわりぃ公式オンラインショップ」においてクレジットカード決済をされたお客様16,396名で、漏洩した可能性のある情報は以下のとおりです。なお、フルオーダーメイドランドセル、イージーオーダーメイドランドセルをクレジットカード決済にて購入されたお客様は、別サイトでの管理となっておりますので、漏洩した可能性の対象外となります。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・氏名、電話番号、住所、生年月日、メールアドレス

・ふわりぃ公式オンラインショップ ログインID

・ふわりぃ公式オンラインショップ ログインパスワード

上記に該当する16,396名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年7月17日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「ふわりぃ公式オンラインショップ」での再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月23日に報告済みであり、また、警視庁サイバー犯罪対策にも2024年7月17日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【2024年8月6日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-478】株式会社別大興産 ランサムウェア被害に伴う情報漏えいのおそれに関するお知らせ 2024/10/28

 

株式会社別大興産(以下、弊社といいます)は、弊社サーバおよびその周辺機器(以下サーバ等といいます)において第三者によるランサムウェア攻撃の被害を確認し、弊社が保有する個人情報を含むデータが複製され外部へ持ち出されたおそれが発生しましたのでご報告いたします。

お客さまをはじめ関係者の皆さまにご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.概要

弊社が管理するサーバ等のデータベースに対して、外部からサイバー攻撃が行われ、その結果、サーバ等が使用できない状態となりました。画面には不正アクセスによってデータを使用できなくしたこと、個人情報を含むデータを複製したこと、金銭を支払わないとデータを第三者へ売却することを示す内容が表示されており、個人情報の漏えいが疑われる状態となっています。従業員が使用しているパソコン端末では被害はありませんでした。

2.経緯

2024年10月24日(木)7:40頃、システム担当者がサーバの稼働状態を確認したところ、上記の「概要」で記載している内容を確認しました。10月25日(金)時点で漏えいされた個人情報および漏えいによる被害の連絡は受けておりません。

3.原因

現時点では、ログ解析を実施している段階であり原因の特定には至っておりません。

4.現在の対応

現在、攻撃対象となったサーバ等は全て停止しております。

なお、10月24日(木)に個人情報保護委員会、公益財団法人くまもと産業支援財団九州プライバシーマーク審査センター、大分県別府警察署へ報告をしました。また、顧問弁護士事務所と連携し、法的対応・措置を実施して参ります。

5.漏えいのおそれがある個人情報

10/25(金)時点で以下のデータが漏えいしたおそれがあります。

・弊社の管理物件にお住いのご入居者様

・過去に弊社の管理物件にお住いだったご契約者様

・大分県・大分市・竹田市より弊社が受託している公営住宅のご入居者様(連帯保証人様含む)、ご退去者様(ご親族様含む)、お申込者様(代理人様含む)

・賃貸物件を保有されているオーナー様

・弊社の仲介にて不動産売買を行ったお客様

・弊社所有物件の不動産売買を行ったお客様

・お取引のある法人様

・弊社の従業員および過去在籍していた従業員

・弊社が運営する企業主導型保育所(B-kids)入所者及び保護者様

※クレジットカード情報は保持しておりません。

6.対象となるお客さま数

現時点においては、サーバ等が使用できないため正確な数字が計測できません。

7.お客さまへの対応

サーバ等が使用できないためお客さまへ個別にアクセスできない状況でございます。状況は随時ホームページにて公表いたします。

8.サービスのご利用

現在、データの復元を急いでおりますが、復旧に要する期間は不明です。そのため、一部の業務で遅延等が発生するおそれがあります。

9.今後の対策

ログ解析の結果をふまえ、セキュリティ強化施策を行います。また、あらためて従業員に対する教育を徹底し再発防止を徹底してまいります。

10.弊社からのお願い

本件に関する情報漏えいの被害を拡大させ、対象の方々のプライバシーを侵害し、生活や事業に深刻な影響を与え、犯罪を助長するおそれもございますので、SNS等を通じた拡散はお控え下さいますよう、ご協力をお願い申し上げます。

スパムメールの送付や関連したフェイク情報の発信、漏えい情報の対象となった方々や当社および当社関係会社従業員等への誹謗中傷その他の迷惑行為が発生した場合は、当社は警察と連携して厳正に対応し、関係するすべての方々のプライバシーと安全を守り、二次被害が最小限となるよう努めてまいります。

お客様、お取引先様をはじめとする関係者の皆様には多大なるご心配とご迷惑をおかけしておりますことを、重ねてお詫び申し上げます。

また、今回の事態を重く受け止め、原因の追究と情報セキュリティ体制の一層の強化、徹底を図り、再発防止に尽くしてまいります。

リリース文アーカイブ

【2024年10月25日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-477】商事法務研究会 個人情報漏えいに関するお詫びとお知らせについて 2024/10/24

 

当会が、東京大学大学院法学政治学研究科から運営を受託する「産業データ連携の現状と法的展望に関するシンポジウム」(2024年11月8日開催予定)につき、当会が設置した聴講申込フォームの誤設定によって、聴講を申し込まれた方の個人情報を第三者が閲覧できる状態となっていたことが判明しました。本件判明後直ちに設定を修正し、現在は閲覧できないようにしておりますが、聴講申込者の皆様、関係者の方々に多大なるご迷惑及びご心配をお掛けしますことを深くお詫び申し上げます。

現時点において判明している事項は以下のとおりです。対象となる聴講申込者の皆様へは10月24日15時16分ごろにメールにてお詫びとご報告及びお問合せ窓口のご連絡を申し上げました。

なお、今後の報告については追って当会ウェブサイトでお知らせ申し上げます。

〈漏えい事象の概要〉

本シンポジウムの聴講者を聴講申込フォームを通じて募集しておりましたが、聴講を申し込まれた方が、申込後に画面に表示される「前回の回答の表示」というリンクをクリックすると、ほかの申込者の方の個人情報を含む申込情報を閲覧できる状態となっておりました。

〈漏えい状況〉

・件数

78名

・期間

2024年10月3日16時40分~2024年10月23日17時18分ごろ

・第三者が閲覧した可能性がある個人情報等

聴講申込フォームへご入力いただいておりました

 ①氏名

 ②ご所属

 ③メールアドレス

 ④コメント及びメッセージ

〈漏えいの原因〉

聴講申込フォームを当会が契約し利用するGoogle Formsで作成したところ、当会が誤って初期設定を変更し、その後の動作確認の不備が重なり、「前回の回答の表示」というリンクが表示される状態になっておりました。

〈事実経緯・対応状況〉

・2024年10月3日16時40分

聴講申込フォームを当会ウェブサイトに掲載

・同10月23日17時08分ごろ

シンポジウム関係者より申込情報を第三者が閲覧できるようになっているとのメールを受信

・同日17時09分

事務局でメールを確認し、状況の確認を開始

・同日17時18分

聴講を申し込まれた方が第三者の個人情報を含む申込情報を閲覧できる状態であることを確認。聴講申込フォームの設定を閲覧できないように修正(この時点で78名の申込あり)

・10月24日15時16分ごろ

対象となる聴講申込者の方に対して個別にメールにてお詫びとご報告を送信

・同16時45分ごろ

当会ウェブサイトに本「個人情報漏えいに関するお詫びとお知らせについて」を掲載個人情報保護委員会に漏えい事案報告

〈今後の対応〉

法律知識の普及・啓発活動を推進する当会として今回の事態を重く受け止めております。

今後同様の事態が生じないよう、個人情報を取り扱う上での管理体制を見直し・強化するとともに、利用するフォームの精査、フォーム公開前のチェック体制の見直しなど、再発防止策を検討・実施してまいります。また、法令等に基づく関係各所への報告・対応等についても速やかに進めてまいります。

今後、漏えいに伴う被害等の発生がないか調査を進め、新たな状況が判明しましたら、改めて当会ウェブサイトでお知らせ申し上げます。

この度の事態を発生させましたこと及び本事態を当会で認識できなかったことを重く受け止め、今後の運営についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-476】三興商事株式会社 当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ 2024/10/24

 

この度、当社におけるサイバー攻撃によるものと思われるシステム障害(以下、「本件」)が発生したことについて、下記の通りお知らせいたします。

お取引様・関係者の皆様に多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

2024年10月22日9時頃から弊社サーバで障害を検知し、確認したところ、一部サーバでランサムウェアウィルスの感染を確認いたしました。

当社サーバが第三者による不正アクセスを受けたことを確認し、さらなる攻撃予防のためお取引先様及び外部とのネットワークを遮断しました。

本件について、悪意をもった外部からの攻撃として、ネットワーク遮断後、緊急対策本部を立ち上げ、警察に報告ならびに相談をしております。侵害調査と緊急対策のために、外部のセキュリティ専門家を起用し、本件被害の全容解明と復旧、さらには再発防止に向けて総力を挙げて取り組んでいるところです。

今後、お知らせすべき事項が明らかになりました場合には、速やかに開示を行います。

リリース文アーカイブ

【セキュリティ事件簿#2024-475】株式会社スローヴィレッジ 当社が運営する「スローヴィレッジオンラインショップ」への 不正アクセスによる情報漏洩の可能性に関するお詫びとお知らせ 2024/10/24

 

このたび、株式会社スローヴィレッジ(以下「当社」といいます。)が運営する「スローヴィレッジオンラインショップ」(以下「本件ショップ」といいます。)は、第三者(以下「本件攻撃者」といいます。)による不正アクセスを受け、32,345件のお客様の個人データ(うち4,494件のお客様については、クレジットカード情報を含む個人データ)が漏洩した可能性があることが判明いたしました(以下「本件」といいます。なお、これらのお客様の中には、個人データの漏えいの可能性があるにとどまる方も含まれます。)。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人データが漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

当社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。

1.経緯

当社は、2024年6月19日、一部のクレジットカード会社から、本件サイトを利用したお客様のクレジットカード情報の漏洩が懸念される旨の連絡を受け、同日、本件サイトにおけるクレジットカード決済を停止いたしました。 当社は、同日、本件に関する調査を第三者調査機関に依頼いたしました。2024年7月7日、調査機関による調査が完了し、2021年2月4日~2024年5月28日の期間に本件サイトにおいて商品を購入されたお客様のクレジットカード情報が漏洩した可能性があることが判明いたしました。

2.個人情報漏洩状況

(1)原因

本件の原因は、本件攻撃者に本件サイトのシステムの一部の脆弱性を利用され、ペイメントアプリケーションを改ざんされたことにあると考えられます。

(2)漏えい等が発生し、又は発生したおそれがある個人データの項目と件数

・漏えい期間

2021年2月4日~2024年5月28日

・個人データの項目

カード名義人名、クレジットカード番号、有効期限、セキュリティコード、氏名、住所、メールアドレス、電話番号、FAX番号

・個人データが漏えいした方の人数

クレジットカード情報が漏えいした可能性があるお客様:4494人

※上記に加え、上述の漏えい期間に当社決済画面のクレジットカード情報の入力欄に23,466件のランダムな数字の組み合わせが入力されるという事態が発生し、最大で23,466件の有効なクレジットカード情報が入力された可能性があります。

なお、上記の23,466件のランダムな数字の組み合わせを用いた取引はエラー等により成立しておらず、また、当該数字の組み合わせに紐づいた正確な顧客情報が存在しないことから、当該数字の組み合わせに対応するクレジットカード番号が定められたクレジットカードの利用者を特定することはできません。

クレジットカード情報以外の個人データが漏えいした可能性があるお客様:27851人

3.二次被害またはそのおそれの有無及びその内容

「2.個人情報漏洩状況」に記載しましたように、本件ではクレジットカード情報が漏えいしたおそれがあるため、クレジットカードが第三者によって不正に使用された可能性があります。

4.これまでの対応経緯について

2024年6月19日に個人情報漏洩の懸念が生じてから今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。 本来であれば疑いが生じた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきところではございましたが、不確定な情報の公開はいたずらに混乱を招くおそれがあり、お客様へのご迷惑を最小限に食い止める対応が先決であるであると判断したため、本公表までの間に第三者調査機関の調査およびカード会社との連携を行っておりました。

また、当社は、2024年6月20日、監督官庁である個人情報保護委員会に対し、本件についての報告を行い、2024年6月26日、所轄警察署である甲府警察署にも報告を行いました。当社は、今後捜査に全面的に協力してまいります。 今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済再開時期について

当社は、このたびの事態を厳粛に受け止め、本第三者調査機関の調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止に努めてまいります。 改修後の本件サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

6.お客様へのお願い

当社は、クレジットカードが不正に利用された可能性があることを踏まえ、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めておりますが、お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

7.本件に関するお問い合わせ窓口

≪スローヴィレッジオンラインショップ お客様相談窓口≫

・受付時間:9:00~17:00(土・日・祝日も受付)

・電話番号:フリーダイヤル0120-88-3653

・メールアドレス:shop@slow-village.jp

公表後数日はお電話が繋がりにくくなるおそれや、メールでのご回答に時間を要してしまうおそれもございます。誠に恐縮ではございますが、あらかじめご了承頂ければと存じます。

お電話が繋がりにくい場合およびメールでのご回答に時間を要する場合に備え、本件についてQ&Aページも設けております。

https://shop.slow-village.jp/Page/faqlist02.aspx

8.本件サイトのご利用について

・現在クレジット決済で定期購入をしているお客様

既にご登録いただいているクレジットカードで毎月決済していただけます。ご不安な場合は、お手数ですが下記の決済方法にご変更下さい。

※GMO後払い、Amazon Pay、代金引換(宅急便コレクト)

・単発でご注文する場合

ご利用可能な決済方法はGMO後払い、Amazon Pay、代金引換(宅急便コレクト)のみとなります。新たにクレジットカードを登録してのご注文はご利用いただけません。

※代金引換(宅急便コレクト)は、本件サイトとは別のシステムを利用するため、現金のみならずクレジットカードにて配達員の方へお支払いいただけます。クレジットカード決済再開までのあいだ、代引き手数料は無料です。

リリース文アーカイブ

【セキュリティ事件簿#2024-474】学習院女子大学 不正アクセスによる迷惑メール送信のお詫びについて 2024/10/23

 

このたび、本学のメールシステムにおいて、利用者1名分のメールアカウントが不正にアクセスを受け、迷惑メールの送信に悪用されるという事案が発生いたしました。

 迷惑メール送信期間 : 2024年10月16日(水)8時頃~13時頃

 送信メール件数 : 1,553件

 送信先メールアドレス数 : 59,770アドレス

当該利用者のメールアカウントは、事案判明後、直ちに利用停止の処置を行っています。

本件に関して、迷惑メールを受け取られた皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

なお、不正アクセスによる個人情報等の流出は無かったことを確認しており、現時点において被害の確認はされておりません。

本学としては、この事態を重く受け止め、メールアカウントやパスワードの厳格な管理、フィッシングメール等への対処について、学内者にあらためて注意喚起を徹底すると共に、情報セキュリティ教育などを通して意識啓発を行い、再発防止に努めて参ります。

リリース文アーカイブ