不正アクセスによる情報流出の可能性に関するお詫びとお知らせ
2020年8月14日
株式会社キッチハイク
代表取締役 山本雅也 / 藤崎祥見
不正アクセスによる情報流出の可能性に関する
お詫びとお知らせ(第三報)
2020年7月24日に発表した「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ(第一報)」のとおり、弊社が運営するサービス「キッチハイク」のユーザー情報が流出した可能性が判明した件について、選定した外部セキュリティ専門家によるデジタル・フォレンジック*を進めております。今回、流出情報について進展がありましたので、関係者の皆様へお知らせいたします。
*デジタル・フォレンジック=原因追究のためのログ収集・調査・鑑識の手段
1.調査の進捗
外部セキュリティ専門家によるデジタル・フォレンジックの進展がありましたので、流出した可能性のある最大件数とユーザー情報についてご報告させていただきます。対象となる皆様には多大なご迷惑ご心配をお掛けし、心よりお詫び申し上げます。順次、メールでも個別にご連絡を差し上げます。
2.ユーザーの皆様への影響
◎流出した可能性のある最大件数
2020年7月21日までにご登録いただいたユーザー116,863件
116,863件の中には退会したユーザーの件数も含まれております。退会時にユーザー情報は削除されておりますので、流出の可能性はございません。
◎流出した可能性のあるユーザー情報
2020年7月21日までにご登録いただいたユーザーが、サービス上で入力したプロフィール情報。メールアドレス、氏名(*1)、ハッシュ化されたパスワード(*2)、電話番号等
(*1)氏名につきましては、実名必須ではございません。
(*2)ハッシュ化とは、アルゴリズムを用いて元のデータを長さが一定のランダムに見えるデータに置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です。
なお、クレジットカード情報は外部の決済サービス側が管理しております。今回の件に起因してクレジットカード情報の不正利用の可能性はございません。
また、Facebookのパスワードはキッチハイクでは保存・管理しておりません。今回の件に起因して、Facebookのパスワードが流出している可能性はございません。
詳細につきましては、本件に関する、よくあるお問い合わせをご確認ください。
《お問い合わせについて》
・本件に関する、よくあるお問い合わせ
https://kitchhike.jp/security-faq-2020
・お問い合わせ窓口
https://support.kitchhike.com/hc/ja/requests/new
3.今後の取り組み
以下の通り対応を進め、関係者の皆様に随時情報開示いたします。
◎9月上旬 社外セキュリティ専門家による調査、流出の原因追究と類似調査
・情報流出の経路追究
・同様の原因に対する類似調査
・公式アナウンス(第四報)
◎10月上旬 セキュリティ体制の強化
・情報管理体制の見直し
・強化方針決定
・公式アナウンス(第五報)
以上
*****************************
【訂正】
以下について、当初の表記から正しい表記に訂正します。(2020年8月16日 00:00)
・「ユーザー名」を「氏名」に訂正
・「暗号化されたパスワード」を「ハッシュ化されたパスワード」に訂正
【追記】
以下について、補足として追記いたします。(2020年8月16日 00:50)
・(*1)氏名につきましては、実名必須ではございません。
・(*2)ハッシュ化とは、アルゴリズムを用いて元のデータを長さが一定のランダムに見えるデータに置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です。
2020年7月30日
株式会社キッチハイク
代表取締役 山本雅也 / 藤崎祥見
不正アクセスによる情報流出の可能性に関する
お詫びとお知らせ(第二報)
2020年7月24日に発表した「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ(第一報)」のとおり、弊社が運営するサービス「キッチハイク」のユーザー情報が流出した可能性が判明した件について、セキュリティ専門家による調査によって今後の見通しが一部変更となりましたのでお知らせいたします。
1.調査の進捗
先週よりセキュリティ専門家への状況共有・調査範囲および方針の検討を進めた結果、当初の想定よりも調査に時間を要すること、及び、調査期間が長引く状況であることが判明いたしました。
また、早期の原因特定にむけ、本件を専門領域として取扱うセキュリティ専門家を選定するため複数社に依頼相談と、並行してデジタル・フォレンジック*のための準備を進めておりました。7月30日からは、選定したセキュリティ専門家によるデジタル・フォレンジックをスタートしております。
流出状況が不明である期間が長引き、関係者の皆様にはさらにご不安な気持ちを抱えさせてしまうこと、誠に申し訳なく、心よりお詫び申し上げます。現状、社内でも特別体制を敷き、できる限り最優先して対応を進めております。今後も、いち早く皆様へ詳しい情報を開示できるように努めてまいります。
| 7月24日 | ・コーポレートサイトに第一報を公開(11:00) |
|---|---|
| 7月24日〜29日 | ・セキュリティ専門家を選定するため複数社に依頼相談 ・並行して、デジタル・フォレンジックのための準備を進める |
| 7月30日 | ・セキュリティ専門家による、デジタル・フォレンジックをスタート |
2.サポート体制
キッチハイクアカウントのパスワード変更やアカウント削除など、すぐにできる対応のお問い合わせにつきましては、サポートチームが対応しております。土日祝、休みなしでお受けしておりますので、いつでもお問い合わせください。すでにいただいているお問い合わせにつきましても、下記に回答内容をまとめておりますので、ご不明点やご質問がある方は以下をご確認ください。
《お問い合わせについて》
・本件に関する、よくあるお問い合わせ
https://kitchhike.jp/security-faq-2020
・お問い合わせ窓口
https://support.kitchhike.com/hc/ja/requests/new
3.今後の取り組み
第一報でお知らせした内容からスケジュールが後ろ倒しとなり、ご迷惑とご心配をお掛けしておりますこと、改めて心よりお詫び申し上げます。今後につきましては、以下の通り対応を進め、関係者の皆様に随時情報開示いたします。
◎8月中旬〜9月上旬 社外セキュリティ専門家による調査、漏洩の原因と範囲の追究
・不正アクセスの原因追究
・流出した可能性のある情報内容と範囲の追究
・公式アナウンス(第三報)
◎9月以降 類似調査とセキュリティ体制の強化
・同様の原因に対する類似調査
・情報管理体制の見直し
・強化方針決定
・公式アナウンス(第四報)
以上
2020年7月24日
株式会社キッチハイク
代表取締役 山本雅也 / 藤崎祥見
不正アクセスによる情報流出の可能性に関する
お詫びとお知らせ(第一報)
この度、弊社が運営するサービス「キッチハイク」のユーザー情報が流出した可能性が7月16日に判明いたしました。関係者の皆様には、多大なご迷惑、ご心配をお掛けすることとなり、誠に申し訳なく、心よりお詫び申し上げます。
経緯等につきましては下記の通りとなりますが、流出経路は現在調査中であり第三者による不正アクセスの可能性が高く、セキュリティ専門家に依頼して事実関係の調査を進めております。初動対応として、同様の不正アクセスを遮断するべくサーバーリプレイスを実施、7月22日に作業完了しました。並行して、7月21日には警察及び専門機関へ所定の届出も行いました。今後につきましては、専門家の調査により影響を受けた可能性のあるユーザーの皆様の情報がわかり次第、改めてお知らせするとともに、必要な対応・対策を講じて参ります。
1.これまでの経緯
これまでの経緯は以下の通りです。
| 7月16日 | ・外部のセキュリティ専門家からインシデントの懸念がある旨連絡 ・アカウント調査開始、セキュリティ強化対策検討開始 |
|---|---|
| 7月17日 | ・サーバーリプレイス準備開始 |
| 7月20日 | ・ユーザーへ定期的なパスワード変更に関するメールマガジン配信 (12:00〜) |
| 7月21日 | ・ユーザーの新規登録停止(16:00 〜) ・サーバーのリプレイス作業開始、サービス全体停止(23:00 〜 6:00) ・警察署及び独立行政法人 情報処理推進機構(IPA)に不正アクセスの被害届を提出 |
| 7月22日 | ・サーバーのリプレイス作業完了、サービス再開・新規登録再開(6:00 〜) |
2.ユーザーの皆様への影響
現在、情報流出の事実、流出した情報の内容、件数等につき調査を進めております。なお、弊社はユーザーの皆様のクレジットカード情報はお預かりしておりません。
3.対策
社内の情報管理体制を点検するとともに、ユーザーの皆様へパスワード変更に関するメールマガジンを配信いたしました。また、並行して情報漏洩の被害を最小限に防ぐために、サービス及ユーザー新規登録の一時停止とサーバーリプレイス作業準備を行いました。
4.ユーザーの皆様へのお願い
7月20日のメールマガジンでご案内しておりますが、キッチハイクアカウントをお持ちの方は、以下の手順でログインパスワードを変更いただきますようお願いいたします。
◎パスワード変更手順
以下のアカウント設定画面よりご変更ください。
https://kitchhike.com/user
◎パスワードをお忘れの方へ
以下のパスワードリセット画面より再設定できます。
https://kitchhike.com/password/reset
※キッチハイクアカウントと同一のメールアドレス、パスワードを用いて他のサービスをご利用の方は、念のため、当該サービスのログインパスワードの変更をご検討ください。
5.今後の取り組み
以下の通り対応を進め、関係者の皆様に随時情報開示いたします。
◎7月27日〜 社外セキュリティ専門家による調査、漏洩の原因と範囲の特定
・セキュリティ専門家による調査開始
・調査により不正アクセスの原因特定
・調査により流出した可能性のある情報内容と範囲の特定
・公式アナウンス(第二報)
◎8月3日〜 類似調査とセキュリティ体制の強化
・同様の原因に対する類似調査
・情報管理体制の見直し・強化方針決定
・公式アナウンス(第三報)
以上
*****************************
【7月27日追記】
セキュリティ専門会社との調査日程・調査範囲を検討した結果、下記のスケジュールにて今後の対応を進めさせていただくことにいたしました。皆様へのご報告が遅くなりご迷惑、ご心配をお掛けいたしまして、心よりお詫び申し上げます。対応が進み次第、関係者の皆様に随時情報開示いたします。
◎8月中旬 社外セキュリティ専門家による調査、漏洩の原因と範囲の特定
◎9月以降 類似調査とセキュリティ体制の強化
《お問い合わせについて》
本件に関するご不明点やご質問については、こちらをご確認ください。
https://kitchhike.jp/security-faq-2020