【セキュリティ事件簿#2022】日本盛株式会社 弊社サーバーへの不正アクセスによる クレジットカード情報等漏洩に関するお詫びとお知らせ 2023年3月30日


このたび、 弊社が業務上使用するサーバーにおきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等 (23 件) が漏洩した可能性があることが判明いたしました。 お客様をはじめ、 関係者の皆様には多大なるこ迷宮及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等が漏洩した可能性があるお客様には、個別に書面及びメールにてお詫びとお知らせを発送させていただきます。

親社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年9月18日午前9 時頃、 弊社が業務上利用するデータセンタの管理会社から、弊社のサーバーに不具合が生じているとの報告を受け、 弊社内部にて調査したところ、 サーバーがランサムウェア (悪意あるウィルス) に感染していることが発覚したため、 当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力のもと、対策チームを設置いたしました。 その後、弊社の「通信販売 (お電話)」 及び「日本盛オンラインショップ (EC サイト)」の運営を 2022 年9月 20 日に停止しました。

そして、第三者調査機関に原因究明等について調査を依頼し、 2022年10月6日にランサムウェアにより社内システムのデータが暗号化された旨の調査結果の報告を受けましたが、その影響範囲について継続的に調査を進めておりました。その結果として 2023年2月24日、 第三者調査機関から最終調査結果の報告を受け、ランサムウェアにより暗号化されたデータの中に、2016年10月6日~2022年9月16日に弊社の「通信販売 (お電話)」でご注文いただいたお客様のうちの一部の方のクレジットカード情報等が記載された注文書やメモの画像データ (合計 23 件) が含まれており、漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の公表に至りました。

2.クレジットカード情報等漏洩状況

(1)原因

第三者調査機関からは、 弊社が導入していた VPN 機器 (データを暗号化して安全に通信す
るための専用線) の脆弱性を悪用し、 弊社サーバーに不正にアクセスされた事実を確認した
との報告を受けております。

弊社では、従来からクレジットカード情報が記載されたデータファイルにつきましてはサーバーには保存しないルールとしておりましたが、一部で当該運用の徹底ができていなかった部分があり、サーバー内に一部のお客様のクレジットカード情報が記載された画像データが保存される結果となりました。

(2) 漏洩した可能性のあるクレジットカード情報等

漏洩した可能性があるのは、2016年10月6日~2022年9月20日に通信販売 (お電話)でご注文をいただいたお客様のうちの一部の方 (23 名) に関する以下の情報です。

・クレジットカード番号
・有効期限
・氏名

3. お客様へのお願い

弊社では、 既にクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、 今一度ご確認をお願いいたします。 万が一、 身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、傍せてお願い申し上げます。

なお、 お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、上弊社よりクレジットカード会社に依頼しております。

4. 公表までに時間を要した経緯について

2022年9月18 日に不正アクセスの事態を認識してから今回の公表に至るまで、 時間を要しましたことを深くお詫び申し上げます。

本来であれば 2022 年 10 月 25 日の公表時点ですぐにこ連絡し、注意を喚起するとともにお詫び申し上げるところではございま したが、不確定な情報の公開は徒に混乱を招き、 ご迷
惑を最小限に食い止める対応準備を整えてからの公表が不可欠であると判断し、調査会社の追加調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の公表までお時間をいただきましたこと、重ねてお詫び申し上げます。