本事案に関し、独立した外部のセキュリティ専門機関に依頼し、厳格なデジタル鑑識調査(※)を実施してまいりました。
また、いわゆるダークウェブ(匿名性が高い闇サイト)にて弊社に関連する情報が掲載されていないかという調査も行っておりましたが、2025年11月9日の時点で、ダークウェブ上において、弊社が保有する個人情報を保有している旨の声明があることを新たに確認いたしました。
※デジタル鑑識調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器などに蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます
これらの状況を踏まえ、第三者機関と協議いたしました結果、当社が保有する個人情報につきまして漏えいのおそれがあるものと判断いたしましたので、これまでの対応経緯その他の詳細事項につき、下記のとおりご報告申し上げます。
1.本事案の経緯
事案の発覚から現在までの当社対応は下記になります。
| 日付 | 対応状況 |
|---|---|
| 2025/07/24 | お客様からのお問い合わせにより本事象を認知 |
| 2025/07/25 | 弊社技術チームによる調査を開始 |
| 2025/07/28 | Pマーク審査機関JUASに速報報告 |
| 2025/07/29 | 個人情報保護委員会に速報報告 |
| 弊社Webサーバー上の不正なプロセスを発見。対象Webサーバーの隔離と不正プロセスの削除実施 | |
| 2025/07/30 | 外部専門業者へのデジタル鑑識調査を依頼 |
| 2025/07/31 | JUAS、個人情報保護委員会への続報報告 |
| 弊社コーポレートサイト、各サービスサイトにフィッシングメールに関する注意喚起のお知らせを掲載 | |
| 2025/08/01 | 不正アクセスの証拠保全と同不正アクセスに備えたサーバー監視強化を実施 |
| 2025/08/07 | 不正アクセス事案として警察(捜査当局)への相談 |
| 2025/08/08〜10 | 弊社サービスに会員登録されている全てのお客様にフィッシングメールに関する注意喚起のメール配信 |
| 2025/08/29 | デジタル鑑識調査の中間報告を受領 |
| 2025/09/05 | 弊社コーポレートサイトに中間報告を掲載 セキュリティ対策を強化した新たなWebサーバーによるサービス運用開始 |
| 2025/10/10 | セキュリティ診断の速報報告にて不正アクセスに利用された脆弱性が解消されたことを確認 |
| 2025/10/15 | デジタル鑑識調査の最終報告を受領 |
| 2025/10/16 | 個人情報保護委員会にデジタル鑑識調査報告書を提出 |
| 2025/10/21 | ダークウェブ調査報告を受領 |
| 2025/11/09 | ダークウェブ上において弊社保有の個人情報を保有している旨の声明があることを認知 |
| 2025/11/10 | セキュリティ診断の最終報告を受領 |
| 2025/11/12 | 個人情報保護委員会に報告 |
2.被害状況
デジタル鑑識調査の結果は下記になります。調査結果で判明した原因やシステムの被害につきましての対応は完了しております。
〇不正アクセスを許してしまった原因
利用していたソフトウェアの脆弱性
〇不正アクセスによる弊社システムの被害
Webサーバー上に不正なプログラムを設置し起動
3.漏えいのおそれがある情報
氏名、住所、メールアドレス、パスワード、電話番号、生年月日、性別、ニックネーム
なお、弊社ではお客さまのクレジットカード情報は一切保持しておりません。そのため、本事案に起因するクレジットカード情報の漏えいはございませんので、ご安心ください。
4.弊社サービスをご利用頂いているお客様へのお願い
個人情報の漏えいのおそれがある個人の方には、個別にメール等にて通知を差し上げます。
なお、ご使用中のパスワードにつきまして漏えいのおそれが確認されましたため、不正利用等の二次被害が起きる可能性がございます。お手数おかけして申し訳ございませんが、パスワード変更を必須とする措置を講じておりますのでご対応のほどお願い申し上げます。また、セキュリティ強化のためパスワードの必要文字数を多くいたしました。弊社のセキュリティ強化にご協力頂きたく存じます。
万一、他のサービスにおいて同一のパスワードをご使用されている場合は、念のため、そちらの変更もご検討ください。
また弊社サービスに登録しているメールアドレス宛に迷惑メールや請求メールが送付されるおそれがございます。見覚えのないアドレスからのメールに対して対応はしないようお願い申し上げます。
5.再発防止策
デジタル鑑識調査にて判明いたしました不正アクセスの原因となった脆弱性は解消いたしました。
ただし、弊社は本事案を厳粛に受け止め、これまで実施済みの安全対策措置に加えてシステムのセキュリティ対策および監視体制のより一層の強化を行い、再発防止を図ってまいります。
①脆弱性管理の徹底
②攻撃監視体制の強化
また、弊社は本事案につきまして、監督官庁である個人情報保護委員会に発覚当初より重ねて報告を行っております。所轄の警察署にも被害相談を行い、これが受理され捜査をしていただいており、今後の捜査にも全面的に協力してまいります。
6.本件に関するお問い合わせ
【お客さまからのお問い合わせ】
本件についてのご質問は、弊社で責任をもってご回答いたします。学校や写真館など関係機関では詳細のご案内が難しく、また、お問い合わせが複数の窓口に分散しますと情報の一元的な把握が困難になります。
スムーズなご対応のため、誠に恐れ入りますが、以下弊社専用窓口まで直接ご連絡いただけますよう、ご理解とご協力をお願い申し上げます。
株式会社フォトクリエイト お問い合わせ窓口
TEL:050-1743-5272(平日10:00〜17:00)
お問い合わせフォーム:https://www.photocreate.co.jp/contact/form_security/
参考:【セキュリティ事件簿#2024-362】株式会社フォトクリエイト 弊社サイト「オールスポーツコミュニティ」を利用したクレジットカード不正利用につきまして