2022年2月8日、一部のクレジットカード会社から、当該サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」でのクレジットカード決済を停止いたしました。同時に、第三者調査機関による調査も開始いたしました。2022年4月15日、調査機関による調査が完了し、2020年11月14日~2021年11月11日の期間に「カタログギフトのハーモニック」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性および個人情報の漏えいの可能性があることを確認いたしました。以上の事実が確認できたため、本日の発表に至りました。
(1)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「カタログギフトのハーモニック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2020年11月14日~2021年11月11日の期間中に「カタログギフトのハーモニック」においてクレジットカード決済をされたお客様最大28,700名で、漏えいした可能性のある情報は以下のとおりです。・クレジットカード名義人名・クレジットカード番号・有効期限・セキュリティコード
(3)個人情報漏えいの可能性があるお客様
2020年11月14日までの間に「カタログギフトのハーモニック」にて商品を購入又は会員登録されたお客様すべて(最大150,236名)で、漏えいした可能性のある情報は以下のとおりです。・氏名・住所・電話番号・メールアドレス・性別・生年月日
お客様が名入れ商品用にご入力いただいている場合は、商品の名入れに必要な以下の情報または一部も含みます(最大5,445名)。・お子様の氏名・お子様の性別・お子様の生年月日・出産時の体重・出産時の身長上記(2)(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。
(1)クレジットカード不正利用のご確認のお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが、同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、上記2(2)のお客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
(2)不審なメール・電話への注意喚起
身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
2022年2月8日、の漏えい懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございました。しかし、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査機関の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
社長がベンダーのセールストークに乗せられる(アンチウイルスの100%検知、OSINT、脅威ハンティング、アトリビューション、などなど)
海外製品は問い合わせても結果だけ来て理由が分からない(例えば、「出来ない」という回答だけ来て、何故出来ないかを答えてくれない)
研究部門で技術を作るものの、社内の軋轢で製品として世に出ない
外資ベンダーに相談すると吹っ掛けられる(ソリューションの相談をすると「〇億円」とか普通に吹っ掛けてくる)
サイバーセキュリティシンポジウム道後2022に行ってきた。
直近2年間はオンライン開催だったが、オンラインだと”ながら見”してしまい、正直集中できないため、個人的にカンファレンスはオフライン推しである。
住んでいる場所とは異なる環境で、様々な話を聞くのは良いものである。
異なる場所への移動手段が飛行機になると、なおさら良い。
そんなわけで、講演メモ。
1.総務省におけるサイバーセキュリティ政策
いきなり出鼻をくじかれた。
何がくじかれたかというと、後援者の都合でビデオセミナーになったからである。
オンラインでのライブではなく、予め収録された動画を会場で視聴するという、ただただガッカリな基調講演だった。
メモを取る気も起きず、モチベーションダダ下がりで終了。
2.サイバー犯罪の現状と対策
警察庁の方のお話。
フィッシングやランサムウエア等の一般的な情勢の話だったが、1点聞いていて驚いたのは、例えばemotetに感染した場合、セキュリティ担当やインシデント対応チームが存在しないような小さな組織の場合、メールアドレスのパスワードを変更して対応完了になってしまうらしい。
冷静に考えると、こういったセキュリティカンファレンスに出てくるような人はEmotetの動きや、最低限Emocheckを実施する等は当たり前の認識だが、我々の当たり前と、一般のITユーザーの当たり前は待ったく異なることを改めて考えさせられた。
また、警察の体制の話もあり、サイバー警察局とサイバー特別捜査隊が20022年に設置されたらしく、その体制の概要を聞くことができた。
サイバー特別捜査隊は、端的に言うとこれまで都道府県警察でバラバラに動いていた重大サイバー事案について、一元的に操作を行う部隊になるらしい。
これまで一元化して捜査する組織が警察に存在しなかったことがある意味信じられないが、今後国をまたいだ国際捜査等にも日本の存在感が増えていくことを期待したい。
セキュリティ啓蒙ビデオと言えば、IPAが制作しているイメージがあるが、警察庁も作っているらしい。紹介されたので下に張り付けてみる。
3.セキュリティエデュケーションの曲がり角
知らなかったのだが、集合形式のパネルディスカッションを”カフェスタイル”と言うらしい。
海外に比べて日本のセキュリティレベルが低いことは何となく認識しているものの、そこについて少し掘り下げた議論があった。
日本も「産官学連携」とはよく聞くものの、米国はこの辺が恐ろしく強い。
例えば、NICE Cybersecurity Workforce Framework(SP800-181)を例にとると、ここで必要なスキルセットを決めるとともに、そのスキル要員を充足させるための民間トレーニングも用意し、充足状況をインターネットに公開。必要な資格を取得することで、雇用までもがセットになっている。
では日本にはNICEフレームワークのようなものが無いのかというと、実はある。
それが、「セキュリティ知識分野(SecBoK)人材スキルマップ」というものだが、これが例えば学校のカリキュラムに反映されているのかというと、実は反映されていない。
何故かというと、SecBoKは企業におけるセキュリティ人材育成のための資料となり、内容が実践的であるのに対し、大学は暗号とかネットワークとか、細かい部分を教えたいと考えていることから、”産”と”学”のニーズがズれているのである。ニーズがずれるので雇用に結びつかない。結局ドキュメントを作って終わりというザンネンな状況になっている。
残念ながら、大学で学んだ細かい内容は、起業におけるインシデントレスポンスにおいては、全く役に立たない。
では大学で学ぶ細かい内容は無駄かというと、そういうことはなく、例えば過去に起こった事件をブレイクダウンしていくときに、大学で学ぶような細かい知識が必要になってくる。
ビジネスが分かっていて、セキュリティインシデント発生時に判断できる人がいないと大変なことになる。CISOは全体を考えるが、個々のビジネスについては、例えばシステム停止時の影響などをCISOは考えることはできない(そもそもCISOの範囲外)ため、CISOに丸投げをするのではなく、個々のシステムについてはそれぞれの責任者がしっかりとリスクマネジメントを行うことが重要。
セキュリティはリスクなので、リスクマネジメントの観点で組織合意や社会合意を進めていく必要がある。
ビジネスとセキュリティが組み合わさると謎が多くなり、一元的に「こうすればOK」みたいなものは存在せず、ことごとくケースバイケースになる。
最近のサイバーセキュリティは予測が難しい。昔は、例えば暗号化については、解析時間からある程度のリスクの予測がついた。ネットワークやシステムはアーキテクチャからリスクの予測が付いた。サイバーセキュリティは様々な攻撃手法を駆使するため、リスクの予測が付きにくい(とはいっても、多くは脆弱性とソーシャルエンジニアリングに収斂される気はするが・・・)
ISC2の調査によると、最近のサイバーセキュリティ人材はIT分野からの流入は3割程度しかなく、IT以外の分野や、最初からサイバーセキュリティの専門教育を受けて入ってくる人が多い。
終了後、道後温泉に行ってみたら、改修工事中らしく、派手な覆いで囲まれていた。
もっと道後温泉本館を連想させるデザインにすればいいのにって思った。
所用で松山へ。
ラウンジに寄ってみると、柿の種の取り放題はまだ復活しておらず、個袋のスナック配布だった。種類は3つ。
午前中のフライトだったが、朝からビール飲むビジネスマン風の人がいてちょっとびっくり。
沖止めもたまには風情があっていいもんです。
松山空港到着
リムジンバス激混みだったので、宇和島うどんを食べながら時間を過ごします。
うどん食べていたらリムジンバスが全部出発してしまったので、路線バスで移動します。
今回の飛行経路。
米国、ニュージーランド、英国のサイバーセキュリティ当局は、PowerShellを完全に削除または無効にするのではなく、PowerShellの適切な設定と監視を行うことを推奨しています。これにより、PowerShell が提供するセキュリティ機能から恩恵を受けると同時に、悪意のある行為者が被害者のネットワークにアクセスした後、検出されずに PowerShell を使用する可能性を低減することができます。以下の推奨事項は、管理者と防衛者による正当な使用を可能にしながら、防衛者が悪意のあるサイバーアクターによる悪用を検知・防止するのに役立ちます。
国家安全保障局(NSA)、サイバーセキュリティおよびインフラセキュリティ局(CISA)、ニュージーランド国家サイバーセキュリティセンター(NZ NCSC)、英国国家サイバーセキュリティセンター(NCSC-UK)によるこのサイバーセキュリティ情報シートは、PowerShellの使用とそのセキュリティ対策について詳細を説明しています。
PowerShellは、Microsoft Windowsに含まれるスクリプト言語およびコマンドラインツールである。オープンソースのオペレーティングシステム(Linuxなど)のBashと同様に、PowerShellはオペレーティングシステムへのインターフェースとして、ユーザーエクスペリエンスを拡張します。PowerShell は Windows Vista で導入され、Windows の各バージョンで進化してきました。PowerShellは、防衛者がWindowsオペレーティングシステムを管理するために、次のような支援を行います。
マイクロソフトのクラウドプラットフォームであるAzureでは、PowerShellがAzureリソースの管理を支援し、管理者や防御者が自動化ツールやセキュリティ対策を構築することを可能にしています。しかし、PowerShellの拡張性、使いやすさ、可用性は、悪意のあるサイバー行為者にとっても好機となる可能性があります。ランサムウェアを含め、公に認められている多くのサイバー侵入は、PowerShellを侵入後のツールとして使用しています。このような手法は目新しいものではなく、悪意のある行為者は、しばしば正規のシステムソフトウェアを標的としたり、利用したりする方法を見つけ出しています。
著者の推奨する方法は、PowerShellの機能を阻害することなくサイバー脅威を軽減するもので、PowerShellの運用を維持するためのMicrosoftのガイダンスと一致しています。 PowerShell をブロックすると、現在のバージョンの PowerShell が提供できる防御機能が阻害され、Windows オペレーティングシステムのコンポーネントが正常に動作しなくなります。PowerShell の機能とオプションが改善された最近のバージョンは、PowerShell の悪用に対抗するために防御者を支援することができます。また、Australian Cyber Security Centre (ACSC) は、PowerShell のセキュリティに関する包括的な設定ガイダンスを提供しています。
PowerShellの現在の守備範囲
PowerShellは7.2が最新版ですが、Windows 10には以前のバージョンである5.1が付属しています。バージョン7.2は、Microsoftによって管理され、オープンソース化されている。Windows 10で適切な設定を行えば、PowerShell 7.2はバージョン5.1用に作成されたすべてのコンポーネントと完全に統合してアクセスできるため、既存のスクリプト、モジュール、コマンドを継続して使用することが可能です。バージョン5.0以前の悪質なPowerShellの使用は、それらのPowerShellアクションを検出するための公的な取り組みの動機となりました。最近のPowerShellのバージョンには、以下のセクションで詳述する防止、検出、認証機能など、セキュリティ対策が強化されています。筆者らは、以下に説明する防御策を回避するために、Windows 10では、非推奨の第2バージョンのPowerShell(つまり、バージョン2)を明示的に無効化およびアンインストールすることを推奨しています。
PowerShellに内蔵されているWindowsのセキュリティ機能は、サイバーアクターによる悪用を減らすことができます。著者らは、可能な限りこれらの機能を使用することを推奨しています。
PowerShellリモーティングのネットワーク保護
リモート接続は、強力なリモート管理機能を使用できるため、エンドポイント上のWindowsファイアウォール規則を適切に設定し、許可される接続を制御する必要があります。Windowsのクライアントエディションとサーバーエディションには、PowerShellリモーティングが含まれており、Windows 2012 R2以降のWindowsサーバーではこの機能がデフォルトで有効になっています。PowerShellリモーティングを使用してエンドポイントにアクセスするには、要求側のユーザーアカウントがデフォルトで宛先の管理者権限を持っている必要があります。プライベートネットワークでPowerShellリモーティングを有効にすると、すべての接続を受け入れるためのWindowsファイアウォールルールが導入されます。許可要件とWindowsファイアウォールルールはカスタマイズ可能で、信頼できるエンドポイントやネットワークにのみ接続を制限することで、横移動の機会を減らすことができます。
ネットワークへの接続を制限し、横移動の機会を減らすことができます。組織は、これらのルールを実装して、ネットワークセキュリティを強化することができます。
アンチマルウェア・スキャン・インターフェイス(AMSI)の統合
Windows 10で初めて提供された「アンチマルウェア スキャン インターフェース」機能は、さまざまなWindowsコンポーネントに統合されています。Windowsに登録されたアンチウイルス製品によるメモリ内や動的なファイルコンテンツのスキャンをサポートし、アプリケーションが潜在的に悪意のあるコンテンツをスキャンするためのインターフェイスを公開するものです。内蔵のスクリプト言語(PowerShell、VBScript、JScriptなど)は、登録・サポートされているアンチウイルスソフトウェアによってスクリプトがスキャンされるよう、AMSIを使用しています。この機能を使用するには、Windows Defender、McAfee、Symantec などの AMSI 対応のアンチウイルス製品が必要です。
弊社パソコンが「Emotet」(エモテット)と想定されるマルウェアに感染し、弊社社員を装うメールが送信されました。
Emotet は、実在の組織や人物になりすまして発信されたメールの添付ファイルによるマルウェアです。主にマクロ付きの Excel や Word ファイル、またはこれらをパスワード付き Zip ファイルとして添付されたメールで配信されており、ファイルを開封後にマクロを有効化する操作を実行することで Emotet の感染に繋がります。
感染するとアドレス帳やメールの窃取または転送設定などが行われ、情報を窃取される恐れがあります。また、窃取された情報を利用され、さらにフィッシングメールやマルウェア添付メールを送信されるなど、被害の拡大に繋がります。
実在の組織や人物から送信(返信)されたように見えるメールでも、「身に覚えがないメール」や「不審な点があるメール」につきましては、メールに記載された URL のクリックや添付ファイルの開封は行わないようにしてください。また、エクセル、ワードなどのオフィスソフトのマクロを実行しないよう、設定をよろしくお願いいたします。
弊社関係者を詐称する不正なメールの添付ファイルを開封された方がいらっしゃいますが、現時点では本件を悪用したフィッシングメールや詐欺等の被害は報告されておりません。
弊社では、今後この様な事態が発生しないよう、セキュリティソフトの見直し、ファイヤーウォールなどの対策を行っておりますが引き続きさらなるセキュリティの強化を実施いたします。
再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くして参ります。
※1 あいち電子申請・届出システム:愛知県や市町村への行政手続やイベントへの応募などがインターネット経由でできるシステム。愛知県及び市町村から株式会社NTTデータ関西へ運用を委託。
1 概要
あいち電子申請・届出システムのコールセンター業務に利用している端末の内1台がコンピュータウイルス(Emotet)(※2)に感染し、コールセンターへ送信されたメール情報(アドレス、本文、件名等)の流出と当該コールセンターになりすました不審メールの送信の可能性があることが確認された。
※2 Emotet:感染すると情報窃盗や他のウイルスの媒介を行うウイルス。不正な電子メールの添付ファイルが主要な感染経路。
2 経緯
| 日時 | 内容 |
|---|---|
| 2022年6月24日(金曜日) | 電子申請・届出システムの運用事業者(株式会社NTTデータ関西)から、コールセンターになりすましたメールがコールセンターの利用者あてに送られている可能性があると県情報政策課に報告 |
| 同日 | 県情報政策課が同システムのトップページに、コールセンターを装った不審メールに対する注意喚起のメッセージを掲示 |
| 2022年6月30日(木曜日) | 運用事業者による影響範囲(不審メールが送られる可能性がある範囲)の調査結果が判明 ・2022年3月10日から6月8日までのコールセンターへのメールでの問合せ者 運用事業者から不審メールを受信する可能性のある方へ、個別にお詫びと注意喚起のメールを送信 |
飛行機が悪天候で飛ばないかもしれない事態に逢ったことは無いだろうか?
自分は昔仙台を訪れた際、濃霧で飛行機が飛ばないかもしれない事態に見舞われた。
この時は幸運にも自分が予約した飛行機のみが奇跡的に仙台空港に着陸し、無事搭乗することができ、予定通り帰ってくることができた。(自分が予約した便の前便、前々便、後便はことごとく欠航だった。。。)
このような事態は今後も遭遇することが想定されるが、その際に運に任せるだけでなく、しかるべき手を打つことで、先の見通しを立てることができる。
このような混乱時に空港カウンターで文句ばかり言って時間を浪費する人がいるが、怒りをぶつけたところで、何も解決しない。
尚、この方法は最終的に航空会社のカウンターに行く必要があるため、文句ばかり言って航空会社のカウンターを占拠するような人がいる一般向けのカウンターよりも、専用カウンターにアクセスできる上級会員の方が成功率はより高くなる。
STEP1:振り替え便を予約
国内線航空券の空きをチェックし、普通運賃で予約。
ポイントは「普通運賃」と「予約」
何故普通運賃か?
普通運賃は最も高いチケットになりますが、一方で最も融通の利くチケットとなり、購入期限は出発の20分前までとなります。
乗るかどうか(=購入するかどうか)は20分前までに確定させればよいため、まずは空席を見つけて予約を行います。
この時点ではどの便が飛ぶかわからないと思うので、複数便を同時に抑えるのがポイントとなります。
STEP2:空港の航空会社カウンターに行く
空港の航空会社のカウンターに行きます。
普通の人はここがハードルが高いかもしれません。長蛇の列になって、怒りをぶつけて時間を浪費する人がいると、時間がかかるかもしれません。
上級会員は専用カウンターが使えるため、比較的スムーズにいくかもしれません。
航空会社カウンターに無事たどり着けたら、STEP1で予約した便から予定通りフライトできそうな便を確認し、その便に振り替えてもらいます。
「でも自分のチケット予約変更不可だし」
いえ、実は悪天候や自然災害等の混乱時はほぼすべてのチケットで予約変更を受け付けてくれます。
これを知っているかいないかは結構大きいかもです。
今年で25年目を迎えるBlack Hat USAは、サイバーセキュリティ・コミュニティに参加方法の選択肢を提供し、ユニークなハイブリッド・イベント体験を提供することに興奮しています。
Black Hat USA 2022は、4日間のTrainingで幕を開けます(8月6日~11日)。
2日間のメインカンファレンス(8月10~11日)では、ブリーフィング、アーセナル、ビジネスホールなどが行われ、バーチャル(オンライン)イベントとラスベガスでのライブイベント(対面式)の両方を提供するハイブリッド型イベントとなります。
第三者機関による詳細な調査の結果、本事象は、外部で不正に入手されたリストを用いたパスワードリスト攻撃(※)であったと結論付けました。
(※)外部より不正に入手した他者の ID とパスワードの組み合わせのリストを用いてサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃。
・5 月 16 日(月)
AM9:36
ご登録いただいているお客様から当該サイトポイント(以下ポイント)使用に関する複数の問い合わせがあったため、不正ログインを疑い社内調査を開始。
AM9:49調査の結果、登録ユーザー以外の第三者による不正ログイン試行と、ログインが成立した一部のケースにおいて第三者によるポイントの詐取が発生したことを確認。当該 IP からのアクセスを遮断。
PM12:00上記の調査結果をふまえ、被害拡大の防止と被害範囲の特定、原因調査のために当該サイトの公開を一時的に停止。
・5 月 17 日(火)セキュリティ専門の第三者機関を交えて詳細な事実関係の調査確認と安全対策に関する協議を開始。
・5 月 19 日(木)当該サイトにおいて、ポイント詐取が発生する以前にもパスワードリスト攻撃と見られる不正アクセスが行われ、複数のアカウントについてログインがなされていることを確認。
・5 月 20 日(金)ご登録いただいているすべてのお客様のパスワードをリセットし、既に不正利用されたメールアドレス・パスワードの組み合わせでのログインを今後遮断する対応を実施。
・5 月 23 日(月)パスワードポリシー変更等アカウントの安全性を強化した上で、当該サイトを再度公開。
・5 月 24 日(火)〜 5 月 27 日(金)ご登録いただいているすべてのお客様に対し、不正アクセス発生の事実についてメールでご報告。
・6 月 1 日(水)セキュリティ専門の第三者機関にて被害状況調査を開始。
・6 月 27 日(月)同一 IP アドレスからの高頻度のアクセスを遮断する対応を実施。
・6 月 29 日(水)セキュリティ専門の第三者機関より被害状況調査報告を受領。
① パスワードリスト攻撃による不正ログイン被害
[パスワードリスト攻撃が行われた期間]2022 年 4 月 10 日(日)AM 00:12 ~ 2022 年 5 月 16 日(月) PM 12:00
[パスワードリスト攻撃被害]不正ログイン試行回数:68,821,639 回上記のうち、実際にログインされた回数:59,742 回(※1)ログインされたアカウント数:27,196 件(※2)
(※1)弊社コーポレートサイトに公開いたしました第 2 報では、試行回数 138,338,195 回、ログイン数 60,518 回と記載していましたが、より詳細に調査を行った結果、攻撃者による実質的な攻撃を伴うアクセス・ログインは上記回数であることが判明したため、訂正いたしました。
(※2)1 つのアカウントに対し、複数回の不正ログインが発生していたため、重複を除いたアカウント数を記載しています。
上記の不正ログインされたアカウントで、閲覧された恐れのあるユーザー情報とアカウント数の詳細は以下のとおりです。
- ニックネームのみ:25,245 件
- ニックネーム・都道府県:751 件
- ニックネーム・都道府県・市区町村以降の住所・氏名:1,196 件
- ニックネーム・都道府県・保有資格・卒業年・生年月日・性別:3 件
- ニックネーム・都道府県・市区町村以降の住所・氏名・保有資格・卒業年・電話番号・生年月日・性別・奨学金情報:1 件
上記以外のアカウント情報の閲覧はございませんでした。なお、銀行口座、クレジットカード情報等、決済関連の情報は、もとより保有しておりません。
※ 弊社が導入する WAF ではリスト攻撃を検知するための機能を有効化、メーカーの提案値よりも検知率が高くなるよう閾値を設定して運用しておりましたが、閾値を下回る速度(頻度)でパスワードリスト攻撃が行われたため、検知・遮断ができておりませんでした。
② 第三者による不正なポイント交換による被害[不正アクセスによるポイント交換が行われた期間]2022 年 4 月 10 日(日)AM 00:50 ~ 2022 年 5 月 16 日(月) AM 10:30※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。[ポイントの不正使用による被害件数およびポイント数]ポイントが不正使用されたアカウント : 1,878 件不正使用されたポイント数 : 652,004 ポイント※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。
[不正アクセスの被害にあわれた方への対応]・第三者による不正なログイン・ポイント交換による被害が確認できたアカウントで登録されているお客様に対して本件状況を個別にメールでご連絡・不正にポイントを利用されたお客様に対しての損失補填(実施済み)[実施済みの対策]・当該サイトのパスワードポリシーの強化・認証画面における reCAPTCHA(リキャプチャ)の導入・ご登録いただいているすべてのお客様のパスワードをリセット
※ 再ログイン時に、お客様にて新たなパスワードをご設定いただくこととなります。パスワードの使い回しを避け、従来ご利用されていたパスワード以外を設定いただくようお願いしております
・再攻撃に備えた重点的な監視策を強化・同一 IP アドレスからの高頻度のアクセスを遮断[今後実施予定の対策]・メール/ショートメッセージを用いた二段階認証の導入
