2024年12月16日より受付を実施しておりました、Morisawa Fontsをご利用中の方を対象とした「Morisawa Fonts書体見本帳2024–2025」の無料送付について、お手続きいただくフォームのセキュリティ対策が不十分であることが確認されました。このことから、12月19日より受付を一時停止しておりましたが、同方法による受付および発送はこの度中止とさせていただくこととなりました。
お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。
経緯
2024年12月16日11時に、Morisawa Fontsサービスサイトにて「Morisawa Fonts書体見本帳2024–2025」の送付ご希望の受付のお知らせ、ならびに専用の受付フォームを公開しました。受付フォームは、送付対象となるMorisawa Fontsご契約者の氏名、メールアドレスを入力することで、弊社のデータベースに登録されているユーザー情報を参照し、送付先の住所と電話番号を確認する仕様でした。
しかし、受付フォームのセキュリティ対策に関する外部からの指摘を受けたため、弊社内で調査を開始し、12月19日12時に受付フォームを停止しました。氏名、メールアドレスだけによる認証を前提とする受付フォームは、第三者のなりすましによる個人情報の取得や登録住所の改ざんが起こり得る脆弱性を否定できないとし、同方法による受付中止を決定しました。
被害の可能性について
12月25日現在、個人情報の不正な取得および改ざんが行われた事実は確認されておりません。
本事案の対象となった個人情報
〈個人情報の項目〉
・氏名
・メールアドレス
・郵便番号
・住所
・電話番号
※ご登録のクレジットカード情報と、Morisawa IDのログインパスワードは対象ではございません。
〈対象件数〉
4,945件
※受付フォームでMorisawa IDの認証を通過し、画面に情報が表示された件数です。必ずしも第三者の不正な入力により表示され、情報が漏洩した件数を表すものではございません。
〈対象期間〉
2024年12月16日11:00~2024年12月19日12:00
対応について
12月23日に個人情報保護委員会へ報告を行いました。
本事案の対象であることが確認できたお客様には、弊社のサービスにご登録いただいたメールアドレス宛に電子メールにて、順次個別にご連絡を差し上げます。
なお、Morisawa Fonts有償プランご契約者様向け書体見本帳プレゼントにつきましては、セキュリティ対策を講じたのち、あらためてご案内予定です。
この度はご迷惑をおかけし誠に申し訳ございませんが、ご理解賜りますようお願い申し上げます。
本事案が発生した原因と再発防止に向けて
受付フォーム作成段階における仕様の確認、およびその運用テストが不十分であったことが原因です。
今後セキュリティ対策を十分に講じ、適切な対応を行う体制を強化することにより、同様の事態の再発防止に全力を尽くしてまいります。