このたび、弊会が運営する「テラ・ルネッサンス公式ウェブサイト」(https://www.terra-r.jp/index.html・以下、「公式サイト」と記載)におきまして、第三者による不正アクセスを受け、ご支援者様のクレジットカード情報(89件)が漏えいした可能性があることが判明いたしました。
ご支援者様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏えいした可能性のあるご支援者様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。
弊会では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
ご支援者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2022年12月17日、公式サイトを利用したご支援者様より「クレジットカードを使用して寄付を行おうとしたが申し込みが完了できない」とご連絡を受け、同日に内部調査を実施。2022年12月19日、公式サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年6月27日、調査機関による調査が完了し、2022年12月16日~2022年12月18日の期間に公式サイトで寄付の申し込みをされたご支援者様のクレジットカード情報が漏えいし、一部のご支援者様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏えい状況
(1)原因
公式サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報及び個人情報漏えいの可能性があるご支援者様
2022年12月16日~2022年12月18日の期間中に公式サイトにおいて、寄付の申し込み時にクレジットカード決済をされたご支援者様のべ89名で、漏えいした可能性のある情報は以下のとおりです。
クレジットカード情報
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・3Dセキュア認証情報
個人情報
・氏名
・生年月日
・住所
・電話番号
・メールアドレス
・寄付金額
上記に該当する方のうち、特定できている39名のご支援者様については、別途、書状にて個別にご連絡申し上げます。
上記に加え、偽の決済フォームにてクレジットカード情報を入力されたものの、ご寄付のお申し込みが完了にいたらなかったご支援者様についても情報が流出した可能性がございますが、特定はできておりません。
3.ご支援者様へのお願い
既に弊会では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
ご支援者様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、ご支援者様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはご支援者様にご負担をお掛けしないよう、弊会よりクレジットカード会社に依頼しております。特定できているクレジットカード以外のカードについて、再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。ご支援者様ご負担での差し替えをご案内された場合、お手数ではございますが、弊会相談窓口へご連絡ください。
4.公表が遅れた経緯について
2022年12月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でご支援者様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、ご支援者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊会が運営するサイトの再開について
弊会はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後のご寄付のお申し込み受付の再開日につきましては、決定次第、改めて公式サイト上にてお知らせいたします。
また、弊会は今回の不正アクセスにつきまして、監督官庁である京都府には2022年12月26日に報告済みであり、また、所轄警察署にも2023年7月12日被害申告しており、今後捜査にも全面的に協力してまいります。