平素は格別のお引き立てを賜り、厚く御礼申し上げます。
表題の件につきましては、多大なるご心配とご迷惑をお掛けしておりますことを、深くお詫び申し上げます。
株式会社ケイ・オール(以下「弊社」といいます。)は、弊社のWebサイトが3月3日深夜に第三者による不正アクセスを受け一次的に意図しないページが表示されていたこと、およびその直後に無関係の第三者から一部のお客様宛に弊社からお客様の個人情報が流出した旨を記載したメールが送信されるという事態が発生したことにより、お客様の情報の一部が外部に流出した可能性があること(以下「本件」といいます。)を3月4日9時頃に確認いたしました。弊社では直ちに初動対応を実施し、Webサイトについては安全な復旧方法を確認のうえ、同日中に復旧を完了しております。
本件について、個人情報流出の可能性があるお客様には、同日中にお客様に生じた被害の状況を確認、注意を喚起するメールを送信し、3月11日にはその時点で確認できた内容についてWebサイトにて公開いたしました。
今回は、本件の原因と今後の対策について、その後の更なる調査結果と共にご報告いたします。
1 不正アクセスの手法・原因
本件については、弊社から警視庁へ被害申告し、サイバー犯罪対策課による捜査が行われました。その結果として、犯人の特定には至らなかったものの、本件で用いられた手法は、Webサイト設置型のメール配信エンジンのファイルを経由した不正アクセスである可能性が極めて高く、弊社のWebサイトで使用されていたメール配信エンジンは脆弱性が確認されていないバージョンではあるものの、2025年2月に判明した『XSS』という新たな手法が用いられた可能性が高いとのことでした。
2 詳細
不正アクセスされたメール配信エンジンは、弊社がシステム事業者から有償で提供を受けていたもので、先ほど述べたとおり脆弱性が確認されていないバージョンであり、また、弊社では提供元からの修正指示にも対応しておりました。 契約していたサーバーについても、セキュリティを強化する機能を複数設定しておりました。しかし、メール配信エンジンの提供事業者においてXSSによる新たな不正アクセスの可能性について対応できておらず、結果的に不正アクセスの被害を防ぐことができませんでした。
なお、調査の結果、本件においてWebサーバーに保存されていた個人情報がダウンロードされた形跡は認められなかったことをご報告いたします。また、3月11日のニュースリリースでご報告したとおり、弊社のWebサイトと同じドメイン(kei-all.co.jp)を使用した電子メールを管理するメールサーバーや、業務上で取り扱うデータの保存媒体は、メール配信エンジンを設置したサーバーとは異なるサーバー管理会社と契約のうえ物理的に別のサーバーで管理されており、その安全性が確認されております。
3 今後の対応
不正アクセスを受けたメール配信エンジンについては、本件発覚直後にWebサーバーからの削除を済ませております。また、弊社では、お客様の情報の安全管理を最重要視し、今後いかなる種類のWeb設置型メール配信エンジンも利用しないことといたしました。 更に弊社では、Webサーバーについて、よりセキュリティレベルの高いサーバーを選定し、移管を完了いたしました。 今後もシステム・サーバー管理及びその委託先の選定については十分に注意を払ってまいります。
本件につきまして、多大なるご心配とご迷惑をお掛けしましたこと、重ねてお詫び申し上げます。
今後もセキュリティ対策の強化に努め、より一層のサービス・品質の向上を図ってまいりますので変わらぬお引き立てのほど、よろしくお願いいたします。
リリース文(アーカイブ)
