| |
| 2008年8月6日 |
| 各位 |
ミネルヴァ・ホールディングス株式会社
(旧株式会社ナチュラム)
代表取締役会長兼社長 中島成浩 |
「アウトドア&フィッシング ナチュラム」への
不正アクセス発生についてのご報告とお詫び |
このたび、弊社子会社であります、ナチュラム・イーコマース株式会社が運営するウェブサイト「アウトドア&フィッシング ナチュラム (http://www.naturum.co.jp/)」(以下「本サイト」と申します。) のウェブサーバー等に外部からの不正アクセスがあり、その内容を調査いたしましたところ、本サイトをご利用いただいておりますお客様の個人情報が、海外からの不正アクセスにより流出した可能性があることを確認いたしました。
お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。 弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に社員一同、全力で取り組む所存です。
現在、本サイトはセキュリティ専門会社の指導のもと、24時間体制の不正アクセス監視、全システムにおいて脆弱性の全面チェック及び不正アクセス対策の強化を既に完了しており、安心してご利用いただける環境にあります。今後とも「アウトドア&フィッシング ナチュラム」をよろしくお願い申し上げます。
本件に関する経緯、不正アクセスの内容等につきまして下記の通りご説明させていただきます。
|
| 記 |
| 1.経緯 |
| |
・ |
クレジットカード会社より、カード情報流出の可能性があるため、
弊社へ調査の依頼があった。 |
| |
・ |
第三者機関であるセキュリティ専門会社による調査を開始。 |
| |
・ |
外部より不正アクセスの痕跡を発見するが、
現時点で情報流出の有無は不明。 |
| |
・ |
不正アクセスの可能性のある外部からのルートをすべて遮断。 |
| |
・ |
念のため、システム内のクレジットカード情報をすべて削除し、
クレジット決済を一時休止。 |
| |
・ |
全システムのセキュリティチェックおよび不正アクセス防止強化策を実施。 |
| |
・ |
不正アクセスの内容として個人情報が閲覧された痕跡を確認。 |
| |
・ |
流出の可能性があるお客様の特定作業を開始。 |
| |
・ |
セキュリティ専門会社による診断により、システムの
安全性が確認されたため、クレジットカード決済を再開。 |
| |
・ |
ミネルヴァ・ホールディングス株式会社(旧株式会社ナチュラム)およびナチュラム・イーコマース株式会社のホームページ上で発表。 流出の可能性がありEメールアドレスを保持していたお客様にお知らせを配信。 |
|
| 2.不正アクセスの内容 及び今後の対応 |
| |
|
セキュリティ専門会社による詳細なログ分析の結果、犯人は、本サイトのメンテナンス用サーバーに不正に侵入し、このサーバーを経由してウェブサーバーに不正アクセス用プログラムを設置したものと思われます。
現在は、不正アクセス用プログラムはすべて排除され、侵入経路となりうる部分はすべて外部から遮断されております。 さらにIPS(不正侵入防止システム)による24時間監視体制を行っており、セキュリティ専門会社により安全性が確認されております。
なお、弊社では不正アクセスに該当するものとして関係官公署に相談を開始。警察の指導のもと捜査用データ及び証拠書類を提出、捜査に全面的に協力しております。 |
| |
|
犯人が設置したと思われる不正アクセス用プログラムは「アウトドア&フィッシング ナチュラム (http://www.naturum.co.jp/)」において、2000年5月〜2008年7月10日の間にお買い物、もしくは会員登録など、本サイトのサービスを利用されたお客様の個人情報が格納されている「顧客マスター」を閲覧できる機能を有しておりました(※)。
この事実から、弊社では「顧客マスター」のデータが流出した可能性が高いと考えております。
| |
※ |
「顧客マスター」に格納された個人情報は以下の3つのサイトの
利用者が対象となります。 |
| |
|
「アウトドア&フィッシング ナチュラム(http://www.naturum.co.jp/)」
「ナチュラムモバイルショップ(http://m.naturum.co.jp/)」
「blog@naturum(http://blog.naturum.ne.jp)」 |
「顧客マスター」の個人情報項目は下記の通りとなっております。
---必須項目---
| |
1. |
ログイン用ユーザーID |
| |
2. |
ログイン用パスワード |
| |
3. |
氏名 |
| |
4. |
Eメールアドレス |
---任意項目---
| |
5. |
住所 |
| |
6. |
携帯電話番号 |
| |
7. |
電話番号 |
| |
8. |
FAX番号 |
| |
9. |
生年月日 |
| |
10. |
クレジットカード名義 |
| |
11. |
クレジットカード有効期限 |
| |
12. |
クレジットカード番号(下4桁は保持しておりません) |
| |
13. |
家族構成管理コード(当社固有の管理番号にて保持) |
| |
14. |
性別管理コード(当社固有の管理番号にて保持) |
|
| |
|
653,424件(全対象データ)
上記のうち
クレジットカード番号(下4桁は保持しておりません)が含まれるもの86,169件
※お客様のクレジットカード登録状況については、弊社コールセンターにお尋ね下さい。
| |
※ |
セキュリティ専門会社の詳細なログ分析においても、実際の流出内容および件数は不明となっております。
上記、流出の可能性のあるデータ件数は、不正アクセスを受けた当時のデータベース状況から考えられる最大値となっております。 |
|
| |
|
弊社では下4桁を除くクレジットカード番号の流出の可能性を確認しておりますが、その他不正アクセスの痕跡がない部分でも流出の可能性を鑑み、顧客マスター以外で保有しておりました全クレジットカード番号242,741件をクレジットカード会社と共有し、万全を期して対応にあたっております。 |
| |
|
今後、セキュリティを一層強化するため、現在認証を受けておりますTRUSTe(※1)に加えまして、PCIDSS(※2)の準拠に向けて取り組んで参ります。詳細なスケジュールにつきましては、後日公表させていただきます。
(※1)TRUSTe…TRUSTe(トラストイー)シールプログラムは、第三者審査機関が審査・認証を行うことにより、個人情報を扱うウェブサイトが利用者に対する 信用度・信頼度を向上するために1997年アメリカにて誕生した、「個人情報保護第三者認証シールプログラム」です。
(※2)PCIDSS…PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。 |
|
|
|