- HOME
個人情報流出に関して
「お中元、お歳暮専用インターネットサイト」への不正アクセスの疑いによるお客様情報流出に関して
最終更新日:2012年12月28日
2012年3月28日クレジットカード会社より連絡を受け、弊社調査並びににおいて「お中元、お歳暮専用インターネットサイト」をご利用されたお客様の クレジットカード情報が一部不正使用されていたことが判明いたしました。 弊社といたしましては,被害の拡大防止等の観点から,3月28日時点で上記インターネットサイトを閉鎖して登録情報を削除したほか、 各クレジットカード会社および関係機関に報告をして、被害拡大の防止への協力を要請し、セキュリティ専門機関に調査を依頼いたしました。 依頼していたセキュリティ専門機関の調査結果にて、海外からのアクセスにより顧客データを不正に抜き取られた痕跡が認められました。 弊社といたしましては、二度とこのようなことがおこらないよう再発防止に全力を尽くす所存でございます。
実施した再発防止の対応策
●「進物の大進 お中元、お歳暮専用サイト」を閉鎖し、関連する個人情報を削除しました。
●弊社運営の全てのWEBにおいてクレジットカード情報をデータベースに保管しない仕様に統一。
●セキュリティー専門の第三者機関による調査を依頼し調査を実行。
●弊社運営の全てのショッピングサイトのSQLインジェクション対策の再確認を致しました。
●当該サイトを運営していたサーバーを安全性の高い新サーバーに変更完了いたしました。
不正アクセスの痕跡のあったデータ
2012年5月21日にセキュリティー専門の調査機関より報告がございました。
不正にアクセスされたデータはクレジットカード決済をご利用された顧客情報291名様分であることが確認されました。
(1)不正アクセスされた個人情報:(5月21日セキュリティー専門機関の調査による結果)
2010年6月23日~2012年3月6日の期間に「お中元、お歳暮専用インターネットサイト」においてクレジット決済でご利用されたお客様291名。
不正アクセスを受けたデータ内容
●クレジットカード番号(セキュリティコードを除く)、●クレジットカード有効期限、●クレジットカード登録者名(ローマ字)、●メールアドレス、 ●291名様のうち8名様分については暗号化されたの当該サイトのログインパスワード
※氏名、住所、電話番号はアクセスされた痕跡はございませんでした。
※クレジット以外の決済方法をとられましたお客様データへのアクセスはございません。
※お届け先様に関する情報は一切アクセスされていませんでした。
※対象のお客様には個別にご報告致しました。
5月21日以前に弊社が発表していた流出の疑いがある個人情報の内容
●送り主様に関する情報(460名様分、クレジットカード情報については291名様分)
氏名、住所、電話番号、メールアドレス、ログインパスワード(暗号化されています)、
クレジットカード番号(セキュリティコードを除く)、クレジットカード有効期限、クレジットカード登録者名(ローマ字)
●お届け先様に関する情報(657名様分)
氏名、住所、電話番号
※2012年4月1日 17時10分 お届け先様に関する情報 重複していたデータを精査して858名から657件に修正
(2)不正アクセスの状況について
2012年3月24日に海外からのSQLインジェクションによるデータへの不正アクセスが行われたものと判明致しました。
※SQLインジェクションとはセキュリティ上の脆弱性を意図的に利用し想定しない命令を実行させることにより、情報を不正に操作する攻撃方法。
経緯
| 2012年3月28日 |
クレジットカード会社より、弊社より情報が流出している疑いがある旨のご連絡を頂く 調査委員会を設置。内部調査を実施。 調査の結果、情報漏洩の可能性が高い「お中元、お歳暮サイト」を閉鎖。個人情報をサーバーより削除。 クレジットカード会社に報告。顧客情報を検証し流出した可能性のある情報を精査。 警察に相談、報告、捜査依頼。 |
| 2012年3月29日 |
対策本部設置。
監督官庁である経済産業省に報告。 クレジット会社各社に流出した可能性のある顧客情報を協議。今後の対応を相談。 |
| 2012年3月30日 |
クレジットカード会社と対応について協議。 経済産業省に状況報告。 |
| 2012年3月31日 |
流出した可能性のある「送り主様」に本件の報告、お詫びなどを郵便にて発送完了。 |
| 2012年4月1日 |
事実関係および経緯等の事情説明の為に各メディア向けに会見を実施。 本件専用WEBページを開設(当ページ)。 流出した可能性のある「送り主様」へメールにて報告、お詫びを配信。 重複していたデータを精査して858名(お届け先様)から657件に修正、報道各社に報告。 流出した可能性のある「お届け先様」に本件の報告、お詫びなどを郵便にて発送開始。 |
| 2012年4月2日 |
本件の専用フリーダイヤル設置。 フリーダイヤル設置完了をメールにて「送り主様」へ報告。 流出した可能性のある「お届け先様」に本件の報告、お詫びなどを郵便にて発送完了。 |
| 2012年4月3日 |
セキュリティー専門の第三者機関に調査相談。 |
| 2012年4月5日 |
セキュリティー専門の第三者機関による調査開始。 |
| 2012年5月18日 |
セキュリティー専門の第三者機関による調査の概要報告を受ける。 経済産業省に上記調査概要を報告。 |
| 2012年5月21日 |
セキュリティー専門の第三者機関による最終調査報告を受ける。 当ページにて調査結果公開。 各メディア向けに調査結果を報告(FAX)。 「送り主様」に調査概要をメールにて報告。 流出した可能性のあった「送り主様」「お届け先様」に郵送にて調査結果を発送完了。 |
| 2012年12月28日 |
当該サイトのサーバーを安全性の高い新サーバーに移転完了。 SQLインジェクション対策済み。 |
本件に関するお問合せ
株式会社 大進本店 個人情報対応窓口
082-221-4117 受付時間:10時~19時
担当:井上ヒデハル、笹山敬祐、福田好人、山田恵輔、平川伸也