【セキュリティ事件簿#2023-037】嘉手納町　個人情報漏えいについてお詫びとご報告　2023年1月26日

この度、町民保険課住基年金係におきまして、住民の氏名及び住所等の個人情報を含むデータを誤送信する事案が発生いたしました。

このような事態を発生させ、皆さまには多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げますとともに、町民の皆さまの信頼を損なうこととなりましたことを深く反省し、全庁体制にて再発防止に取り組んでまいります。

1　概要

令和４年１１月２９日に住民A氏から住民登録についての問い合わせがあり、同日、問い合わせについての回答を電子メールで行い、参考資料を添付して送付した。その際、参考資料として添付すべき届様式ではなく、住民異動関係の見出しとして管理している個人情報を含むファイルを誤って添付し送付した。

令和５年１月３日に住民A氏が返信メールを開封し確認した際、送付された内容の誤りに気づき、当町にメールにて連絡。

令和５年１月４日に職員が、住民A氏からのメールを確認し誤送付が発覚、同日、直ちに住民A氏にお詫びのうえ削除依頼し、削除した旨の確認をおこなった。

2　漏えいした個人情報

住民異動届の令和４年４月１日から令和４年７月１３日受付分　６７５名の氏名、住所、世帯主名、異動事由、世帯員の一部の名

3　漏えいの原因

送付すべきであった「住民異動届様式」と今回誤送付した「住民異動届見出し」のファイルは本来、違うフォルダに保管、管理されている。しかしながら、職員が報告物作成のため「住民異動届見出し」のコピーをデスクトップに保存しており、それを誤って送付した。

メールに添付したファイルの確認が不十分であったことが原因である。

4　今後の対応

今回の事態を重く受け止め、今後このような事態が発生しないよう電子メールの送信にあたっての確認事項を含め、改めてセキュリティーポリシーの遵守徹底を図るとともに、個人情報を含む電子ファイルの適正な保管、管理等、今一度、個人情報の取扱いについて見直し、再発防止に取り組んでまいります。

また、該当する方々へは、文書にて説明のうえ、謝罪することとしております。

リリース文（アーカイブ）

バグバウンティ系のイけてるYouTubeチャンネル

1. Bug Bounty Reports Explained

Grzegorz Niedzielaは、公開された脆弱性の旅にあなたを誘います。彼は、超技術的な発見の詳細に焦点を当て、何が起こったのか、研究者がどのように脆弱性を見つけたのか、視聴者に理解を深めてもらいます。高度な脆弱性やバグの連鎖について学ぶには、特に視覚的に学ぶことができる優れた方法です。

2. InsiderPhd

InsiderPhdはイギリス在住の大学教授で、パートタイムのバグバウンティハンターです。彼女は、バグバウンティの様々な側面に関する教育ビデオを定期的に公開しています。デモを交えた脆弱性チュートリアルもあれば、バグバウンティの計画面（効果的なメモの取り方、プログラムの選び方、目標設定、モチベーションなど）に取り組んだものもあります。このユニークなアプローチは、気負わずにバグ探しの技術面を学びたい、初めてバグを見つける方法を知りたいという初心者に特に興味深いものです。

3. LiveOverflow

LiveOverflowは自らをハッカー志望と称していますが、彼の動画はそうではないことを証明しています。ドイツを拠点とするこのCTFプレイヤーは、様々なニッチなトピックについて、10分間の深堀りされた説明ビデオをアップロードすることで知られており、理解しやすいスケッチブックのアニメーションで心地よく視覚化されています。LiveOverflowは、教育的なチュートリアルから、ハッキングに関連する実際の話、質問、考えをカバーすることまで、様々なトピックをカバーしています。最近のMinecraftハッキングシリーズは話題になること間違いなしです

4. NahamSec

NahamSecは最も影響力のあるバグハンターの一人で、バグバウンティコミュニティに信じられないほどポジティブな影響を与えている。彼は、最高のバグバウンティハンターへのインタビュー、ライブハッキングストリーム、チュートリアル、Vlogで知られています。また、彼のチャンネルでは、彼が共同主催したカンファレンスのトークも見ることができます。ハッカーたちが最先端の技術（特にウェブハッキング）を紹介するだけでなく、チャリティーのために何千ドルもの資金を集めることにも貢献しています。

5. PwnFunction

pwnFunctionのYoutubeチャンネルに適切な言葉を見つけるのは難しいです。まず、質問から始めましょう。あなたはペンギンが好きですか？もし答えがイエスなら、今すぐハマるはずです! さて、もう一つ。ステラアニメーションは好きですか？pwnFunctionは、様々な脆弱性の概念やウェブに関する秘密について説明する、最も美しいビデオを制作しています。彼は年に2、3本しかビデオを作らないが、彼がアップロードするときは、それが良いものであることがわかるだろう

6. John Hammond

ジョン・ハモンドは、CTFコンテストにおいては真の伝説的存在です。ジュラシック・パークに登場する彼の双子のように、Johnは情熱的なクリエイターであり、謙虚なコミュニティメンバーでもあります。NahamConやHacktivityConで彼が作った人気のCTFチャレンジで彼を知っている人もいるかもしれません。Johnの特徴は、課題を作るだけでなく、その仕組みや解決方法を説明し、他の人を教育し、次のレベルに到達する手助けをすることに長けている点です。

7. Ippsec

Ippsecが最もよく知られているのは？Hack The Boxのチュートリアルビデオです。彼はそれをロックしていますか？もちろんです。もしあなたが侵入テストに入りたいなら、これらのビデオはベスト中のベストです

8. PhD Security

博士号を持ち、サイバーセキュリティに情熱を持つ別の人物が、あなたにすべての小技を教えるビデオを作っています。このビデオ、すごいですよ

9. Farah Hawa

Farah Hawaは、複雑なウェブ脆弱性をわかりやすく説明する才能を持つバグハンターです。彼女独自のスタイルで、要点を率直に述べ、脆弱性を迅速に把握するために必要なことだけを教えてくれる。

10. STÖK

独特のルックスとヴェイパーウェアのような美的感覚で、バグバウンティ界に旋風を巻き起こしているSTÖK。彼は、菜食主義のシェフであり、ITコンサルタントからサステナブルファッションストアのオーナーに転身し、バグバウンティハンターであり、キーノートスピーカーでもあるのです。彼のビデオには、「Bounty Thursdays」という週刊教育番組、バグハンターのアプローチ方法に関するトーク、モチベーションを高めるスピーチ、バグバウンティライフの楽しいカバー、チュートリアルなどがあります。彼のビデオを見た後は、ポジティブになれること請け合いです

2022年、彼はあまり積極的に活動しておらず、今後投稿するビデオも少なくなると思われますが、彼がコミュニティのためにしてくれた素晴らしい仕事を称え、今年もこの場所を提供したいと思います。Stokはバグバウンティに良い雰囲気をもたらし、彼がいなかったら、どれだけ多くの素晴らしいハンターがバグバウンティハンターになることはなかったでしょう

11. 0xdf

0xdfは、Hack The Boxマシンやその他多くの素晴らしいビデオを制作しています。彼の素晴らしいところは、単に解決策を示すだけでなく、ルートシェルを取得するだけでなく、脆弱性の原因を正確に示していることです。

12. Cristi Vlad

Cristi Vlad は何年も前から侵入テストを行っており、彼がそのマジックの一部を YouTube で共有してくれたのは幸運でした。彼は非常に多くのビデオを持っており、どこから始めればいいのか分かりませんが、そのほとんどすべてが金字塔であることをお約束します。

13. CryptoCat

CryptoCat は、CTF ウォークスルー、バイナリ搾取、ペンテスト、マルウェア解析、プログラミング/スクリプトなどに焦点を当てた情報セキュリティ教育チャンネルです。彼は通常、カバーするトピックを深く理解できるように、かなり詳細に説明します。

さらに素晴らしいことがあります。彼はもうすぐインティグリティのコミュニティチームに参加する予定です。インティグリティのYouTubeチャンネルで、彼のコンテンツにご期待ください。

14. Rana Khalil

Rana Khalilは、セキュリティ評価の専門家であり、パートタイムのバグバウンティハンターです。彼女のチャンネルでは、Portswigger's Web Security Academyのすべてのラボを解決することに焦点をあてています。Ranaはいつも、特定の脆弱性に関する一般的なガイドビデオで始まり、その後、いくつかのラボで解決策を実演しています。

15. HackerSploit

HackerSploitには、ハッキングに関するビデオが400本以上あります。その中には、倫理的なハッキングや侵入テスト、Linuxのエッセンス、チャレンジのウォークスルーなど、多くのシリーズが含まれています。彼は様々なトピックに触れますが、彼の専門はLinuxです。彼のビデオは、ペンテスターのためのDocker、zsh、Nmapなどのトピックの優れた紹介を提供しています。

16. Seytonic

Seytonicは、YouTubeで最高のセキュリティニュースコンテンツを作っています。それは間違いないでしょう。バグバウンティハンターとして、私たちは時々、他のバグバウンティハンターからだけ多くのサイバーセキュリティニュースを得るという、小さなバブルに入ることがあります。ハッキングには他の側面もあり、Seytonicのビデオを使って、それを本当に簡単に消化するのが好きなのです。

17. Dr Josh Stroschein

ジョシュは、100％講義と言えるようなビデオを作ります。私たちは、リラックスしたスタイルと落ち着いた声が大好きです。このすべてが、学習をより良いものにしてくれます

18. theXSSrat

"What’s up you amazing hackers?"

この文章を聞いたことがない人は、XSSラットのコンテンツをチェックする必要がありますよ。彼は定期的にバグハンターに関連する様々なトピックについて短いビデオを公開しています。これには、インタビュー、チュートリアル、Q&A、Tips、そしてバグハンターが始めるときに誰もが抱く疑問への答えが含まれています。

19. Conda

Condaは素晴らしいクリエイターであるだけでなく、最近Intigritiのリーダーボードでトップになり、素晴らしい肖像画を付与されたのです。この素晴らしいバグバウンティハンターがどのようにスタートしたかを知りたい方は、ぜひ彼のチャンネルをチェックしてみてください。

20. HackingSlimplified

Hacking Simplifiedは、チャンネル名が宣伝しているとおりのことをやっています。彼は、ハッキングをよりシンプルにするためのビデオを制作しています。彼のチャンネルでは、コミュニティの注目すべき人々へのインタビューや、AndroidのペンテストからGraphQLの脆弱性の発見まで、あらゆることについてのチュートリアルを見ることができます。

出典：Top 20 bug bounty YouTube channels in 2023

2023年の危険な航空会社8選

航空格付け会社のエアラインレイティングス（AirlineRatings）は、2023年の安全な航空会社トップ20と安全な格安航空会社（LCC）トップ10を発表した。

裏ネタとして逆に評価が低い、シングルスターな航空会社を8社取り上げてみたい。

Pakistan International Airlines / パキスタン国際航空

Air Algérie / アルジェリア航空

SCAT Airlines / SCAT航空
※カザフスタンのシムケントを本拠地とする航空会社。

Sriwijaya Air / スリウィジャヤ航空
※スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

Airblue / エアブルー
※カラチを本拠地とするパキスタンの格安航空会社

Blue Wing Airlines
※スリナムの航空会社

Iran Aseman Airlines / イラン・アーセマーン航空

Nepal Airlines / ネパール航空

出典：COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー　当社従業員によるご契約者様等の個人情報の漏洩について　2023 年１月 25 日

このたび、当社の従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明いたしましたので、お知らせ申し上げます。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報（氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等）を漏洩した可能性があることが、2023年1月20日に判明いたしました。

これを受け、当社は2023年1月23日に対策本部を設置し、当該従業員による第三者に対するご契約者様等の個人情報の提供行為の有無や上記の勧誘等との関係を含めた、本件の事実関係及び原因の全容解明並びに被害の拡大防止に取り組むことといたしました。

当社から、ご契約者様等に対して、事前の同意を得ることなくウォーターサーバーの勧誘やキャンペーンの案内をすることはございませんので、当社の名を騙った勧誘にはくれぐれもご注意いただきますようお願い申し上げます。ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、深くお詫び申し上げます。

本件による当社業績への影響については、現在精査中であります。今後、業績に重要な影響を及ぼすことが明らかになった場合には、速やかに開示いたします。

なお、本件については既に警察に相談をするとともに、国土交通省その他関係機関に対しても報告をしております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-006】株式会社SEプラス　弊社教育サービスをご利用頂いているお客様への重要なお知らせとお詫びについて(2023/01/25 追加報告) 2023年1月25日

2023 年 1 月 6 日にご報告 (以下「前回ご報告]」といいます) しました通り、弊社の教育事業サービスにおきまして、弊社のお客様 (法人・個人含む) の一部情報が限定された条件下において閲覧可能な状態にあり、漏えいのおそれがあったごことが判明致しました (以下、「本件」といいます)。

弊社は、漏えいのおそれがある状態を直ちに是正するとともに、本件につき原因・影響範囲その他の事実を把握するべく、社内調査に加え、第三者機関によるフォレンジック調査を進めてまいりましたが、調査が終了しましたので、調査結果および再発防止に向けた取り組みにつきご報告申し上げます。

なお、本件については既に是正済であり、第三者機関の調査におきましても、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されておりません。また、本日、個人情報保護委員会等への報告を済ませております。

改めまして、お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1. 漏えいするおそれのあつた個人情報と件数 (※下線は前回ご報告から追加・変更された事項を指します)

件数 : 49,982 件

個人情報

・会員 ID(一部サービス)

・氏名

・メールアドレス

・バスワード(一部サービスにおける初期バスワード以外は暗号化を確認)

・所属会社名

・役職(一部サービスにおいて任意に入力されたもの)

・学習履歴(一部サービス)

※学習履歴は記号化されておりますが、データベースを操作して紐づけを行うことで認識可能な状態

2. 閲覧可能であった期間

2022 年 12 月 16 日2022 年 12 月 29 日迄の間、断続的に閲覧が可能な状態(特定の条件下において)

3. 経緯

2022 年 12 月 29 日、お客様より「外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した」旨のご連絡を受け、直ちに社内調査を行った結果、同月 30 日に原因の特定に至りました。その後、2023 年 1 月9 日より第三者機関によるフォレンジック調査を行いました。

4. 原因

第三者機関によるフォレンジックを含む調査の結果、整社従業員の開発用 PC1 台について、複数の条件を全て満たすごとで当該PC 内に設定されているデータベースへの侵入を許すおそれがある状態であったことが確認されております。

5. 現在の状況

データの閲覧が可能な状態はすでに是正済みであり、第三者機関によるフォレンジック調査の結果、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されませんでした。また、本件につき必要な関係各所への報告は完了しております。

6. 再発防止策

現在再発防止策として下記の対策を進めておりますが、新たに外部セキュリティ会社等の専門機関に相談しつつ、追加の対策も速やかに検討、実施してまいります。

(1)情報セキュリティ教育の強化

(2)確認・チェック機能の強化、各種権限の見直し

(3)現状の開発運用方針を見直し、代替手段へ移行

改めまして、お客様にはご心配をおかけする事態となかりましたことを深くお詫び申し上げます。ごの度の事態を真統に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

併せて、弊社サービスをご利用のお客様におきましても、報告書を提出済です。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-022】株式会社アダストリア　当社サーバーへの不正アクセス発生について（第二報）お客さまの個人情報流出の可能性に関するお知らせとお詫び 2023年1月24日

当社コーポレートサイトの2023年1月19日付け「当社サーバーに対する不正アクセス発生について」※にてリリースいたしました通り、当社のサーバー等に対する不正アクセスに関連して、一部のお客さまの個人情報が流出した可能性を否定できないことが判明いたしました。なお、現時点で、本件に関わる情報流出は確認されておりません。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

現在判明している事実等につきまして、以下のとおりご報告いたします。

１．経緯

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等（以下、本件サーバー等）に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。なお、WEBストア「ドットエスティ」のECサーバーについては、今回の不正アクセスの影響を受けていないことを確認しておりますが、物流システムを停止したことに伴い、ドットエスティを休止いたしました。

同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、同日午後には、警察へ相談しております。

現在も調査を継続しており、現時点で本件に関わる情報流出は確認されておりませんが、本件サーバー等に保存されている、お客さまの個人情報流出の可能性を完全に否定できないことが判明しました。なお、個人情報保護委員会への報告は既に実施いたしました。

２．1月24日時点で流出の可能性が判明した個人情報の内容

以下の対象となるお客さまの個人情報 1,044,175件（氏名・住所・電話番号・メールアドレス・会員識別番号）

① 2022年7月～2023年1月に、ドットエスティからの商品を受取り済み・受取り予定の一部のお客さま

② 2021年4月～2023年1月に、店舗受け取り・自宅配送サービスをお申込みの一部のお客さま

③ 2019年8月～2019年9月に、ドットエスティで購入された一部のお客さま

（①・②については、2023年1月18日以前のご注文・お申込みの方が対象です。）

※　クレジットカード情報などの決済情報は含まれておりません。

※　会員識別番号は、社内で使用する管理番号です。ドットエスティへのログイン情報（お客さまご自身で設定された会員ID・パスワード）は、本件サーバー等に保有しておらず、流出可能性の対象となる情報に含まれておりません。

３．対象となる方への対応

当社では、順次、対象となる方への連絡を進めており、メールまたは郵送にてご案内を差し上げる予定です。

４．現在の状況とWEBストア「ドットエスティ」について

現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しております。休止しているWEBストア「ドットエスティ」につきまして、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております。

５．今後の対応と再発防止策

引き続き、外部の専門機関と連携し、原因や経路の究明を行うとともに、流出の可能性がある情報について調査を進め、対象となる方へのご連絡を差し上げてまいります。ドットエスティ再開にあたっての必要な対策は講じておりますが、さらに安心してご利用いただくためのセキュリティと監視体制の強化を実施し、再発防止に努めてまいります。

６．業績への影響

現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

本件に関して、さらなる詳細な調査の結果、新たに報告すべき事項が判明した場合には、速やかにお知らせいたします。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-035】株式会社シャルレ　「CHARLE WEB STORE（シャルレウェブストア）」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ 2023年1月24日

このたび、弊社が運営する「CHARLE WEB STORE（シャルレウェブストア）」（https://store.charle.co.jp/）（以下「当サイト」といいます。）に対して入力補助サービス等（以下「本サービス」といいます。）を提供している株式会社ショーケース（本社：東京都港区、証券コード：3909）（以下「ショーケース社」といいます。）におきまして、同社のプログラムが第三者による悪意のある攻撃を受け、お客様のクレジットカード情報(対象者数: 605 名)が漏えいした可能性のあることが、ショーケース社からの報告により判明いたしました。

お客様には多大なるご迷惑及びご心配をおかけする事態となり、深くお詫び申し上げます。クレジットカード情報が流出した可能性のあるお客様には、二次被害の防止の観点から、既に第一報を郵送にてお送りしていますが、改めて、本日から個別にお詫びとお知らせをご連絡させていただいております。

また、被害範囲確定のための第三者機関（事故調査機関（PFI：PCI Forensic Investigator））による当サイトの調査の結果、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことを確認しております。当該調査に時間を要し、ご報告が本日となりましたことを重ねて深くお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

なお、弊社では、既にショーケース社のサービスの切り離しを行っております。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたしますので、ご確認くださいますようお願い申し上げます。また、ショーケース社より、本件に関する概要と対応等につきまして、以下のとおり2022 年 10 月 25 日付で公表されていますので、お知らせいたします。

▼株式会社ショーケース不正アクセスに関するお知らせとお詫び（2022 年 10 月 25日）

　URL： https://www.showcase-tv.com/pressrelease/202210-fa-info

1.経緯等

2022 年 7 月 26 日、ショーケース社が本サービスを利用する弊社以外の企業から、本サービスのプログラムのソースコードに不審な記述がある旨の指摘を受け、ショーケース社においてソースコードを調査したところ、当サイトで使用しております同社サービス「フォームアシスト」及び「スマートフォンコンバータ」において、第三者による不正アクセスにより、ソースコードの書き換えがなされ、当サイトにおいて入力されたお客様のクレジットカード情報が外部に流出した可能性があることが判明しました。

2022 年 7 月 28 日、弊社はショーケース社からその旨の報告を受け、決済代行会社及びクレジットカード会社と相談の上、2022 年 8 月 3 日、当サイトでのカード決済を停止いたしました。また、2022 年 8 月 29 日からは、ショーケース社が第三者調査機関による調査を開始しました。

ショーケース社からの初期報告に基づき、2022 年 10 月 4 日以降、クレジットカード情報が流出した可能性のあるお客様に対して、二次被害の防止の観点から、第一報を郵便にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

2022 年 10 月 19 日、ショーケース社における第三者調査機関による調査が完了し、流出した可能性のある情報及び情報が流出した可能性のある期間について、ショーケース社より報告を受けました。

当初、漏えいした期間は、2022 年 7 月 19 日 3 時 14 分から 2022 年 7 月 26 日 20 時35 分までとの報告を受けておりましたが、ショーケース社における第三者調査機関による詳細な調査の結果、漏えいした可能性のある期間が変更となったため、追加された期間に当サイトで決済を完了されたお客様に対しても、2022 年 11 月 1 日に、二次被害の防止の観点から、第一報を郵送にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

その後、本件の全容解明及び被害状況の把握に向け、社内調査を進めるとともに、当サイトを対象とした第三者調査機関による調査を開始し、2023 年 1 月 6 日、当該調査の結果、当サイトにおいて漏えいした可能性のある期間は後記 2.(1)のとおりであることが判明しました。また、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことも確認されました。

以上の事実が確認できたため、本日の公表および漏えいの可能性のあるお客様への最終的なご報告に至りました。

なお、当サイトでのクレジットカード決済は停止しておりますが、サービスそのものは継続しております。

2.漏えいの可能性のある個人情報等

(1) 漏えいの可能性のあるお客様

以下の対象期間中に、当サイトのクレジットカード情報入力画面にて、後記(2)の情報を新たに入力して決済されたお客様

①2022 年 7 月 19 日 07 時 49 分 55 秒から 2022 年 7 月 26 日 20 時 33 分 40 秒
②2022 年 7 月 26 日 22 時 31 分 02 秒から 2022 年 7 月 29 日 01 時 48 分 08 秒

(2)漏えいの可能性のある情報
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

3. 漏えいの可能性のあるお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいの可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

上記「2.(1)漏えいの可能性のあるお客様」は、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合には、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、クレジットカード会社に依頼しております。

4.再発防止策及び弊社が運営するサイトについて

このたびの事態を厳粛に受け止め、当サイトに対する調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

当サイトでのクレジットカード決済の再開日につきましては、決定次第、当サイト上にてお知らせします。

なお、今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 8 月 2日及び 2022 年 12 月 14 日に報告済みであり、また、2022 年 9 月 6 日には所轄警察署に相談をしており、今後、捜査にも全面的に協力してまいります。

5.公表が遅れた経緯について

2022 年 7 月 28 日のショーケース社からの情報漏えいのおそれに関する報告から今回の公表に至るまで、時間を要しましたことを深くお詫び申し上げます。

決済代行会社及びカード会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、当サイトにおける第三者調査機関による調査の結果及びカード会社との連携を待ってから行うことといたしました。

公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）