【セキュリティ事件簿#2023-496】株式会社紀伊國屋書店 不正アクセスによる、個人情報漏洩の可能性に関するお知らせとお詫び


株式会社紀伊國屋書店(以下「当社」といいます)は、このたび、第三者によるサイバー攻撃により、不正なアクセスを受けたことを確認しました。

お客様をはじめ関係者の皆様にご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.概要

当社が管理運用する「和雑誌アクセス納品情報」及び「INTERMAX納品管理システム」サイトに、外部からサイバー攻撃が行われ、その結果、利用しているデータベースのテーブル名称を取得されたことが判明しました。個別のテーブルの内容にアクセスされた形跡及びデータを取得された形跡は認められておりませんが、上記2サイトのデータベースサーバと同じサーバでデータベースを運用している「Access Web Service System」を含めて、情報漏洩した可能性がありうるものとして、お知らせいたします。

漏洩の可能性がある個人情報は「4.漏洩した可能性のある個人情報と件数」に記載した内容であり、クレジットカード情報、銀行口座情報等は含まれておりません。また、調査の結果、情報漏洩の痕跡は確認されておらず、現時点では、本件によって当社が保有する個人情報が外部へ流出した事実は確認されておりません。なお、当社の運営するECサイト(紀伊國屋書店ウェブストア)、電子書籍Kinoppy、ポイントカード(紀伊國屋ポイント)等に関する個人情報については本事案の影響はありません。

2.経緯

2023年11月1日(水)に警察から、「和雑誌アクセス納品情報サイト」にサイバー攻撃があった旨の連絡をいただき、即時、サイトの管理を委託している業者に連絡して調査を行いました。その結果、「4.漏洩した可能性のある個人情報と件数」に記したサイトへの不正アクセスの痕跡が確認された為、各種対策を実施して、お知らせするものです。

3.現在の対応

当該サイトの一部に脆弱性が認められた為、それらへの対策を実施済です。

当社が運営する各種Webサービス全体を改めて見直し、より一層のセキュリティ強化に努めてまいります。

4.漏洩した可能性のある個人情報と件数


サイト 個人情報 件数
(a) 和雑誌アクセス納品情報 氏名 294件
(b) INTERMAX納品管理システム 氏名、住所、電話番号 7,491件
(うち6,329件は受託元より
受領した個人情報)
(c) Access Web Service System 氏名、住所、電話番号 2,096件

及び、上記サイトの納品履歴。
※クレジットカード情報、銀行口座情報等は保持しておりません。
(a)主に図書館のお客様向けに和雑誌の納品データを提供するサービス。
(b)INTERMAX(海外マガジン)の納品情報を管理するシステム。店舗における海外マガジンの定期購読サービスに関係するデータはありません。
(c)学術雑誌(主に外国雑誌)の納品情報の管理を支援する法人向けサービス。

なお、本件において、個人情報が外部へ漏洩した痕跡は確認されておらず、現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。

当社は今回の事態を厳粛に受け止め、さらなるセキュリティの強化に取り組んでまいります。