【セキュリティ事件簿#2023-320】株式会社HUGE 不正アクセスによる個人情報流出に関するお詫びとご報告について 2023年8月21日


2023年8月6日(日)、当社が管理運用する顧客管理システム「The HUGE CLUB(以下THCという)」に対する不正アクセスにより、一部のお客様の個人情報(氏名・電話番号・メールアドレス・生年月日・性別・予約履歴・ポイント履歴)が外部流出した可能性を否定できないことが判明いたしました。今回の情報にクレジットカード情報は含まれておりません。二次被害や更なる被害の拡大を防ぐため、所轄警察署や有識者の意見を参考にしながら、早期に謝罪及びご報告をするタイミングを見計らい、本日の公表とさせていただきました。お客様をはじめ多くの関係先の皆様に多大なご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.本件の概要

① 発生

8月6日早朝、当社が管理運用するTHCサーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。この影響によりTHCにおいて予約ができないなどの障害が発生いたしました。当社ではさらなる拡大を防ぐため、直ちにアクセスキーの無効化を行い、8月7日に対策本部を立上げ、不正アクセスを受けたサーバの範囲と状況・原因等の調査、復旧の検討を開始いたしました。

② 調査の経緯

初期調査段階で、THCサーバへの不正な侵入と内部の一部データが削除されていることを確認いたしました。また侵入されたサーバには一部のお客様情報を保管するファイルが含まれており、その情報が削除されていることが分かりました。

お客様の個人情報が外部に持ち出された可能性につきまして、現在本件に関わる個人情報の不正利用等は確認されておりません。しかしながら流出の可能性を完全に否定することは難しく、今後も引き続き調査を継続して参ります。

2. 漏えい等が発生したおそれがある個人データの項目

① 対象

2021年6月15日から2022年9月19日の間に「The HUGE CLUB」をご登録いただいたお客様 96,938人

② 情報

氏名、電話番号、メールアドレス、生年月日、性別、予約履歴、ポイント履歴

尚、クレジットカード情報は含まれておりません。

3.原因

外部専門家の見解を含めて総合的に検証した結果、侵入経路はTHCと連携する現在開発中のECサイトからTHCサーバへのアクセス情報の一部が盗まれ、THCサーバへ侵入された可能性が高いものと考えております。

4.二次被害又はそのおそれの有無及びその内容

外部専門家への相談も含めて現在調査中です。

今後、HUGEの名前を騙った電子メールでの詐欺に注意をしていただき、アドレス末尾のドメインがhuge.co.jpであることを確認していただく、 メール記載のURLにアクセスをしない、添付ファイルは開かない等について、ご注意いただけますようお願い申し上げます。

お客様へのご対応について
本事案の対象となるお客様には、8月10日(木)にメールにてお詫びと経緯のご報告をさせていただきました。今後のご報告につきましても、準備が整い次第、順次個別にご連絡をさせていただきます。