お客様情報漏洩に関する最終調査報告

 ご報告させていただきました通り、弊社ウエブサイトにてお買い物セッションに進まれたお客様の個人情報が、同時に進行された他のお客様のご注文内容確認画面、ご注文完了画面にて表示されてしまう事例が16件、うちカード番号等決済情報が使用されてしまう事例が5件発生いたしました。誠に遺憾ながら謹んでお詫び申し上げますとともに原因の究明と事例の特定、および再発防止対策を以下に実施いたしましたのでご報告させていただきます。


 詳細かつ厳正な調査の結果、次のような最終結果となりましたので、ご報告させていただきますとともに暫時対策を実施いたしました。

  1. 漏洩期間

    10月4日〜10月11日の8日間
    (前回の緊急調査では10月8日〜12日と発表)

  2. 漏洩内容

    • (1) お客様が弊社ウエブサイト(WiNDy ONLINE)のお買い物セッション(商品を選択しカートに入れる画面からお買い物終了画面まで)に進まれた場合、同時にお買い物セッションに進まれた他のお客様の個人情報が「ご注文確認画面」「ご注文完了画面」にて表示されてしまう事例。
    • (2) 実際のお買い物に際し他のお客様のカード情報にて決済を完了してしまう事例。
    • (3) 実際のお買い物に際し、カード決済以外の方法を選択した場合の情報のすり替わりが発生する事例。

  3. 漏洩発生件数

    • 2. - (1) の場合 16件
    • 2. - (2) の場合 5件(16件中)
    • 2. - (3) の場合 6件(16件中)
    ただし実際に他のお客様情報を画面上散見できる状態にあったお客様の数は最大46名であったことが判明いたしており、そのうち実際にお買い物セッションで他のお客様情報が表示されてしまった事例が16件、お買い物を行った段階で影響が出た事例はカード決済において5件、他のお支払い方法を選択した場合の表記入れ替わりが6件であったことが、判明いたしております。なお、46名のお客様に関しましては実際にご購入手続きを行わずサイトを離脱したと思われるお客様が30名ということでございます。

  4. 原因

    弊社システムを解析の結果、複数のお客様に対し重複してセッションIDを供与してしまうというソフトウエア上のバグによるものであり、外部からの不正アクセスによる情報漏洩、内部の故意による情報漏洩ではないこと、および運用上の瑕疵による情報漏洩の可能性はないことを謹んでご報告させていただきます。なお、セキュリティの関係上、具体的な漏洩時の状況説明は差し控えさせていただきますことをお許しください。また状況の再現およびお客様の特定等に関しては、漏洩条件の特定が可能であったことからサーバーログ解析および条件抽出により調査可能でございました。

  5. 対応

    • (1) 10月4日〜11日までにお買い上げいただきましたお客様全員に対しまして、ご注文の確認をお願いするメールを配信させていただきました。これは、弊社調査に万全を期すための確認作業と位置づけております。
    • (2) お買い物に際し影響のあったお客様に対しましては、弊社オンラインサポートが個別に対応を開始しております。
    • (3) カード番号等クレジット情報に関する万一の事故発生の場合、または未然防止のためのカード番号の再発行等に関しましては、ご契約カード会社窓口へご相談ください。

  6. 対策

    • (1) 10月12日午前0時〜1時までの間、緊急対策プログラムに切り替えることによりセッションID発行システムを排除いたしました。
    • (2) 10月12日午後21時40分〜22時までの間に、全システムを変更しセッションID発行システム排除後の全システム稼動を行いました。

以上


 前記のように本件は、セキュリティ上の問題ではなく、システムプログラムのバグによるインターフェース上のお客様情報のすり替りという要因での事故と判明いたしましたが、弊社ではこの事実を真摯かつ謙虚に受け止め、再発防止に万全を期す所存ですので、何卒ご理解、ご容赦いただきますようお願い申し上げます。

ソルダム株式会社
代表取締役 星野 泉