株式会社ハーモニック　弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ　2022年7月13日

このたび、弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック（https://www.harmonick.co.jp）」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（最大28,700件）および個人情報（最大150,236件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

当該サイトは、完全に分離独立したシステムで運営しているため、弊社で運営している他のサイトは、不正アクセスの対象とはなっておりません。また、弊社商品を取り扱う、百貨店、総合スーパーマーケットのギフトカウンター、ギフト店でご購入いただいたカタログギフトに関しても、当該サイトとは完全に分離したシステムでお客様の情報を管理している為、今回の不正アクセスによる情報の漏えいの心配はございません。

なお、該当のお客様は特定できており、クレジットカード情報又は個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

この件に関する疑問点などページ下部にFAQとして記載しておりますので、併せてご確認ください。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年2月8日、一部のクレジットカード会社から、当該サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」でのクレジットカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2022年4月15日、調査機関による調査が完了し、2020年11月14日～2021年11月11日の期間に「カタログギフトのハーモニック」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性および個人情報の漏えいの可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「カタログギフトのハーモニック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2020年11月14日～2021年11月11日の期間中に「カタログギフトのハーモニック」においてクレジットカード決済をされたお客様最大28,700名で、漏えいした可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2020年11月14日までの間に「カタログギフトのハーモニック」にて商品を購入又は会員登録されたお客様すべて（最大150,236名）で、漏えいした可能性のある情報は以下のとおりです。
・氏名
・住所
・電話番号
・メールアドレス
・性別
・生年月日

お客様が名入れ商品用にご入力いただいている場合は、商品の名入れに必要な以下の情報または一部も含みます（最大5,445名）。
・お子様の氏名
・お子様の性別
・お子様の生年月日
・出産時の体重
・出産時の身長
上記(2)(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが、同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記２(2)のお客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)不審なメール・電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2022年2月8日、の漏えい懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございました。しかし、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査機関の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

プレスリリース（アーカイブ）

資産運用会社にサイバー攻撃、サーバが暗号化 - ユナイテッド・アーバン投資法人

ユナイテッド・アーバン投資法人は、投資運用業務を委託している関連会社のサーバがサイバー攻撃を受け、データが暗号化されたことを明らかにした。

同団体によれば、同団体の資産運用会社で、丸紅の子会社であるジャパン・リート・アドバイザーズの外部サーバが、2022年7月6日にサイバー攻撃を受けたもの。サーバ内部のデータを暗号化され、データの読み取りができない状況に陥った。

攻撃を受けたサーバのアクセス制限などを実施したほか、システムの復旧を進めている。

暗号化された情報には、個人情報も含まれるという。個人情報の外部流出や不正利用については、外部事業者協力のもと調査している。投資法人の運営に与える影響についても調査中だが、決算発表については7月19日に予定通り公表する予定。

プレスリリース（アーカイブ）

出典：資産運用会社にサイバー攻撃、サーバが暗号化 - ユナイテッド・アーバン投資法人

Sec道後振り返り2022 Day2

1.サイバーセキュリティの結節点を目指して

NICT(国立研究開発法人情報通信研究機構)は何をやっているのかを聞かれた場合、面倒くさいので、とりあえず、「日本の標準時間を作っている」と言うらしい（これはこれで格好いい）

まずはセキュリティあるあるの紹介から（個人的に①と②は激しく同意）

セキュリティあるある①

社長がベンダーのセールストークに乗せられる（アンチウイルスの100%検知、OSINT、脅威ハンティング、アトリビューション、などなど）

セキュリティあるある②

海外製品は問い合わせても結果だけ来て理由が分からない（例えば、「出来ない」という回答だけ来て、何故出来ないかを答えてくれない）

セキュリティあるある③

研究部門で技術を作るものの、社内の軋轢で製品として世に出ない

セキュリティあるある④

外資ベンダーに相談すると吹っ掛けられる（ソリューションの相談をすると「〇億円」とか普通に吹っ掛けてくる）

これらを踏まえ、日本は食料自給率のみならず、サイバーセキュリティについても自給率が低く、この課題に応えるべく、NICTの様々なプロジェクトの紹介があった。

詳細はNICTのサイト等を参照してもらうとして、確かに自身の周りを見てみても、サイバーセキュリティの製品で国産はほとんど見かけない。

確かにこれはこれで問題である。

製品を採用する側ももっと国産製品を意識して使っていく形でもいいのかもと思った。

2.対談「傭兵CIO/CDOがCISOもやってみた～DXに向けて動かす立場のセキュリティ

～」

いつのまにか定番化している、LAC西本社長とユーザー企業のCIO対談シリーズ。

今回のSec道後のコンテンツの中ではこれが一番面白かった。

LAC西本社長が司会をするパネルディスカッションは毎回面白いのだが、わざとしているのか、運営側のミスなのか、毎回時間が短い。今回も、もともと40分で設定されており、例のごとく尻切れトンボ気味で終わってしまった。

今回のゲストはエイチ・ツー・オーリテイリングCIOの小山さん。

エイチ・ツー・オーリテイリングは阪急阪神百貨店、阪食、イズミヤなどを傘下に置く持株会社となるため、阪急阪神百貨店のCIOと理解しておけば分かりやすい。

小山さんはIBM→ファイザー→PwCを経て現職という異色の経歴を持つ。

何が異色かというと、ベンダー→ユーザー企業→コンサル→ユーザー企業という経路で、正直個人的には初めて聞いた経路である。

エイチ・ツー・オーリテイリング自体はDXを推進し、ゼロトラストの実装を公表しているが、一方で大変な現状（裏側）を聞くことができた。

ひとつ聞いていて面白かったのが、小山さんがPwC時代にコンサルで導入したRPAが野良化しており、CIOとして入社した小山さんが、自身が前職時代に導入して野良化しているRPAを駆逐する役目を負っている話。

コンサルは実行責任を負わない（個人的には無責任な）仕事なのだが、初めて実行責任を負うコンサルを見た気がする。。。

また、エイチ・ツー・オーリテイリングはIT投資を長らく怠ってきたことから、小山さんが1年前くらいに入社し、これから人的、技術的含めた必要な投資を行っていくことになるのだが、過渡期であるせいか、小山さんがCIO、CDO、CISOに加えて、CTOも担っているという。

これは、デメリットとしては所謂三権分立が無視されており、コーポレートガバナンスとしては問題があることと、権限が集約されているため、寝る暇がないほど忙しいこと

メリットは意思決定が速いこと（人を分けると調整で時間がとられる）

IT投資を長らく怠ってきた会社の場合、当面は権限集約を行い、体制が整ってきたところで権限を分ける等のアプローチが正解なのかもしれない。

最後にFAQで小山さんのようなマルチな人材になるにはどうしたらいいのですかという質問に対する回答。

まず、経営の視点を持つことが必要。

学生が新卒でIT業界に入った場合、まずSEから始まることにあるが、常にほかの人はどう考えているか、外部の視点を持つことが重要。

そのうえで、小山さんのようなマルチな人材を目指すなら、ベンダー、コンサル、ユーザー系企業等様々な経験をした方が良いが、人はそれぞれ向き不向きがあるので、幅広くいろいろな経験をすることが正解であることもあれば、一つのことを深く掘り下げていくことも正解なので、まずは自分の向き、不向きを理解し、自分の向いていることを強くしていくことが良い。

このポイントは個人的にも重要だと思った。

個人的に大学は半分は勉強するところであるが、半分は自分の好きな事、得意な事を探すための場所であり、夏休みや冬休みが長いのもそのためだと思っている。

オワコンと揶揄される百貨店業界だが、小山さんによるDX化でぜひ復活してほしいと思った。

あと、次回からLAC西本社長とユーザー企業のCIO対談シリーズは60分枠でお願いしたいと思った。

アニメ制作会社ショップに不正アクセス - 顧客情報が流出

アニメーション制作会社のインフィニットは、同社が運営する「インフィニット WEB SHOP」において顧客の個人情報が外部に流出したことを明らかにした。

同社によれば、同サイトにおいてシステムの脆弱性を突く不正アクセスを受け、決済アプリケーションの改ざんなどが発生したもの。

不正アクセスの影響により、2020年7月3日から2021年10月27日にかけて、同サイトにログインした顧客最大2959人分のメールアドレスとログインパスワードが流出した可能性がある。

このうち同サイトで商品を購入した最大2730人に関しては、氏名、住所、電話番号、会社名、注文情報についても対象。

さらにクレジットカード決済を利用した最大2083人については、クレジットカードの名義、番号、有効期限、セキュリティコードが流出し、不正利用された可能性がある。

プレスリリース（アーカイブ）

出典：アニメ制作会社ショップに不正アクセス - 顧客情報が流出

多数の被害企業を生んだメタップスペイメント、個人データの不適切な取扱いにより、個人情報保護委員会からも行政処分を受ける。

クレジットカード決済サービスを提供するメタップスペイメントに対して不正アクセスがあり、情報流出が発生した問題で、個人情報保護委員会は、同社に対して個人情報保護法にもとづき指導を行った。

同社では、クレジットカードをはじめ、複数の決済サービスを提供しているが複数のデータベースが不正アクセスを受け、情報流出が発生したもの。

同社に対しては、経済産業省が割賦販売法に基づき、6月30日に改善命令を出しているが、個情委においても、個人データが適切に取り扱われていなかったとして、7月13日付けで個人情報保護法にもとづく行政指導を行った。

個情委では、指導に至った理由として、同社における個人データの管理体制における不備を挙げた。

同社では情報セキュリティ基本規定で、個人データを含む情報資産について棚卸しを行うことを定めていたが、情報資産管理台帳を整備していなかった。そのため、適切な棚卸しが行われておらず、情報資産を扱うシステムさえ把握できていなかったという。

個人情報保護委員会プレスリリース（アーカイブ）

出典：個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化

【セキュリティ事件簿#2022】サンドラッグ e-shop 本店及びサンドラッグお客様サイトへの不正ログインについてのお詫びとお知らせ　2022年7月11日　株式会社サンドラッグ

この度、弊社が運営するオンライン EC サイト「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」におきまして、海外の IP アドレスからの不正アクセスを受け、不正にログイン、一部会員様については会員様情報が閲覧された可能性があることが発覚いたしました。今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われていると推測されます。

現在、不正にアクセスされたと思われるお客様全員に、ご案内メールを差し上げ、メールの受信及びご対応状況を監視しております。本件に関しまして、現段階でお客様からの被害報告はございません。

【不正ログインの状況】

サイト名称：「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」

・件数：19,057 件

・期間：2022 年 7 月 9 日（土）～7 月 11 日（月）

・閲覧された可能性がある会員様情報：氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなど

　※クレジットカード情報は、カード番号頭 6 桁、および下 2 桁のみ

【経緯】

2022 年 7 月 11 日(月)10:30 システム委託会社からの報告により発覚

【お客様への対応と再発防止策】

① 不正ログインの被害を受けた可能性があるお客さまへの対応

対象のお客様には 7 月 11 日(月）中に個別にメールでご連絡の上、パスワードの変更をお願いしております。

② セキュリティ強化のためのシステム対策

不正ログインが試行された海外からのアクセスについては遮断するとともに、第三者機関を踏まえたセキュリティ対策を講じました。

この度は、ご迷惑とご心配をお掛けいたしましたことを心よりお詫び申し上げます。この事態を厳粛に受け止め、再発防止に向けての第三者機関を踏まえたセキュリティ対策のさらなる強化に努めてまいります。

本件に関しましてご不明点がございましたら、下記窓口までお問い合わせくださいますようお願いいたします。

プレスリリース（アーカイブ）

電子申込システムのヘルプデスク（コールセンター）を装った不審なメールにご注意ください　吹田市

「電子申込システム」のヘルプデスク（コールセンター）を装った不審なメール（なりすましメール等）が第三者から送信されているとの事案情報があります。

利用者の皆様におかれましては、不審なメールを受信した場合には、ウイルス感染等の恐れがあるため、メール開封をしない、添付ファイルを実行しない、メール本文中のURLへアクセスしない、メールを削除する等のご注意・ご対応をいただくようお願いいたします。

メールアドレスが流出した可能性のある方に対しては、判明し次第、運営事業者から流出した事実等を個別にご説明いたします。

なお、本事案による「吹田市電子申込システム」の利用への影響はありません。

事案の概要

吹田市電子申込システムを運営する受託事業者（（株）NTTデータ関西）のヘルプデスクで使用しているパソコン8台のうち、1台がマルウェア（Emotet）に感染し、当該端末に保存されていた、過去に送受信したメール情報が流出したことにより、ヘルプデスクを装った第三者からの不審なメールが発信されているものです。

不審メールが届く可能性があるメールアドレス

令和4年（2022年）3月10日から同年6月8日までに当該ヘルプデスクにお問い合わせいただいたメール

件数：総数 2,312件（※）うち本市関係 3件

※電子申込システムは全国で約800の自治体が利用しているクラウドサービスであり、全国で総数2,312件の流出が発生しました。

現時点で判明している不審なメールの概要

【不審なメールの一例】

※下記以外にも類似したパターンで発信されている可能性があります。

差出人：第三者のメールアドレス（表記はヘルプデスク）

（正規の場合） ******* @s-kantan.jp <******* @s-kantan.jp >

（不正の場合） ******* @s-kantan.jp <xxx@xxx.xxx.xxx>←第三者のアドレス

件名： RE:（過去にやり取りしたメールの件名）

添付ファイル：zipファイルが添付されていることが多いです。