不正アクセスによるお客様情報流出のお知らせとお詫び
Ⅰ.概要のご報告
■概要
- 流出の原因:当該サーバへの不正アクセスによる侵害ならびにファイルの窃取
- 流出対象のサーバ
- サーバ(AP-A):特定の法人様に専用ウェブサイトを提供していたサーバ
- サーバ(Web-B):決済代行会社との通信をするサーバ
- 流出した時期
- サーバ(AP-A):平成25年4月24日~30日
- サーバ(Web-B):平成25年2月5日
- 流出対象のお客様
- サーバ(AP-A):平成20年7月1日~平成25年4月30日の間で、各法人様の専用ウェブサイトをご利用されたお客様
- サーバ(Web-B):平成24年6月1日~平成25年2月5日の期間に
①www.telecomsquare.co.jpサイトよりお申込みを頂いたお客様
若しくは
②ご返却時に弊社空港カウンターにて精算をされていないお客様 - 流出対象外のお客様
- 平成25年2月6日以降、下記のウェブサイトを初めてご利用になった方
www.telecomsquare.co.jp
- 平成25年5月1日以降は、各法人様専用サイトを含む、全てのウェブサイトを初めてご利用になった方
- 弊社の空港カウンターで直接申し込まれて、かつ弊社の空港カウンターで精算された方は、ご利用の時期にかかわらず全て対象外です。
- 最大対象件数
- 調査報告書による、不正アクセスによる流出が懸念される最大範囲は97,438件
- 不正利用件数
- 現時点での、不正利用があったと報告されたカード枚数は270枚
- 流出した可能性のある情報
- サーバ(AP-A):法人様専用サイト利用者の、「社名・部署、氏名、住所、メールアドレス、電話番号、カード名義人、カード番号、有効期限」
- サーバ(Web-B):「カード番号、有効期限」のみです。
※カード裏面のセキュリティコードは当社では保持しておりません。 - 現時点での不正利用拡大の防止策
- 対象の全カードを、被害拡大防止のためにカード会社の監視体制下に置きました。
■各サーバの説明
- サーバ(AP-A):特定の法人様に専用ウェブサイトを提供していたサーバです。4月30日に停止するまで、弊社本社内にて運用していました。
- サーバ(Web-A):サーバ(AP-A)ご利用以外の大多数の法人様に、各法人様専用の申込み用のウェブサイトを提供するサーバです。8月11日まで、外部のクラウドサービスにて運用されていました。
- サーバ(Web-B):決済代行会社との通信をするサーバです。
- 8月11日まで、外部のクラウドサービスにて運用されていました。
- 基幹システムのデータベースサーバ:弊社の約100万件の受注情報を管理しているサーバ。平成24年1月からデータセンター内で自社運用しています。
流出が発生した4月30日までのサーバの構成
Ⅱ.お客様への対応について
■カード再発行の手数料など
今回の件でカード再発行にかかる手数料は弊社が負担いたします。 また、その意思があることをカード会社に通知しております。
■弊社からお客様へのご連絡
今回の流出対象のお客様は、弊社から個別のメールにてお知らせを開始しております。
弊社からの、お知らせのメールをご確認ください。
- サーバ(AP-A):該当する法人様には個別にご報告を行い、法人様単位で、順次ご利用者にお知らせのメールを送信しております。法人様により送信日が異なります。
- サーバ(Web-B):本日、個別にお知らせのメールの送信を開始いたしました。
■お客様からカード会社へのご連絡
カードの再発行を希望される方、またはカード会社からの請求内容に関するお問い合わせは、大変恐縮ではございますが、弊社ご利用時のクレジットカード裏面に記載の電話番号に、ご本人様よりご連絡いただきますようお願い申し上げます。なお、カード会社に本件の情報が行き渡っていない場合は、下記、弊社お問い合わせ窓口までお知らせください。
■弊社ウェブサイトの掲載が本日になったことについて
弊社では、本件の認識当初から関係諸機関と緊密な連絡を取り、カードの保全措置を行ってまいりました。また、流出範囲は当初数社の法人様に限定されていたことから、当該の法人様の専用サイトへの情報掲載を先に進めておりました。しかし、9月12日に不正利用者の追加情報がカード会社から提供され、告知対象が一般の方へと広がったため、本日、弊社サイトへ掲載する運びとなりました。
Ⅲ.調査結果のご報告
■これまでの経緯
- (1)8月1日(木)、カード会社からカード不正利用の疑いがあるとの連絡が入り、8月2日(金)ベライゾンに調査を依頼しました。
- (2)8月9日(金)、ベライゾンより中間報告書が提示され、不正アクセスによる侵害及びファイル窃取の可能性があることの指摘を受けました。不正利用のカード情報が、サーバ(AP-A)からのお申し込みに偏っていたため、被害の拡大を防ぐために、当該サーバにあったカード全ての利用監視をカード会社に依頼しました。併せて、当該サーバをご利用された法人様に報告を開始いたしました。
- (3)8月13日(火)、所轄警察署に第一報を行いました。当該サーバ以外のサーバに関しましては、当初より計画していたセキュリティ対策の一環として、データセンターに移設を完了し自社運営を開始しました。
- (4)8月29日(木)、ベライゾンより最終報告書(第一版)が提示され、その中で、2,773件のカード情報流出の可能性を指摘されましたが、流出情報の特定には至りませんでした。弊社では、内部調査と同報告書の内容を照合し、サーバ(AP-A)の全サービス提供期間の情報を合計して、6,441件を流出対象件数と判断いたしました。
- (5)9月4日(水)、最終報告書(第二版)の提示を受け、所轄官庁に報告を行いました。
- (6)9月10日(火)、過去にサーバ(AP-A)をご利用された法人様の、個人の方への連絡を開始いたしました。
- (7)9月12日(木)、ベライゾンより最終報告書(第三版確定版)が提出され、カード会社より不正利用者の追加情報が提供され、情報流出数97,438件を確定しました。
■調査結果と流出範囲の特定
- 全体の調査結果
- ベライゾンの調査結果によると、自社内で運用していたサーバ(AP-A)と、外部のクラウドサービスにて運用していたサーバ(Web-A)及びサーバ(Web-B)において、外部からの不正アクセスの証跡が発見されました。
- しかしながら、ログの消失などから流出したデータが特定できなかったため、サーバ(AP-A)・(Web-A)・(Web-B)に過去に一度でも存在していた全データが、ベライゾンからの最終報告書(第三版確定版)において最大流出範囲とされました。対象カード情報数は97,438件です。
- サーバ別の調査結果
- サーバ(AP-A):調査結果によると、「一連のデータが窃取された場所はサーバ(AP-A)であると考えるのが妥当」と記載されました。弊社では、サービス提供期間(過去5年間)のご利用情報すべてを、最大流出範囲であると判断いたしました。 ※サーバ(AP-A)は、4月24日に弊社が意図しない再起動が行われましたが、サーバの処理集中によるOSの自動再起動と判断し、その時点では調査を行っていません。その後も不調が発生したため4月30日に運用を停止し、5月1日に保持していた情報をデータセンター内のサーバに移管しました。
- サーバ(Web-A):調査結果では、不正アクセスの証跡が発見されましたが、不正利用の発生日である4月16日が、本サーバへの侵害があった5月22日より以前であったことなどから、「本サーバからの流出の可能性は低い」と記載されています。
- サーバ(Web-B):調査結果では、「クレジットカード番号が窃取された可能性は低いと考えられます。」と記載されていますが、9月12日にカード会社から提供された新たな不正利用情報を元に、情報流出があったと判断いたしました。
- 基幹データベースサーバ:調査結果では、侵害の形跡は発見されず、流出の可能性なしという判定を受けております。
Ⅳ.今後の再発防止策
■実施済みの対応施策と今後の取り組み
弊社は今回の事態を厳粛に受け止め、ベライゾンによる指摘事項及び社内調査の結果を元に、情報セキュリティの強化に、全社を挙げて積極的に取り組んでおります。また、既述の5大メジャーブランドが共同で制定したセキュリティ基準である、PCI-DSS Ver2.0の取得に向けたコンサルティング支援を、セコムトラストシステムズ社に依頼し、平成25年10月1日よりプロジェクトをスタートさせます。それに先立ち取り組んだ施策は以下の通りです。
- クラウドサーバからデータセンターにて自社運営サーバへの全面切り替え
- 8月13日までに、かねてからの計画通り、クラウドサービスを利用していたサーバ(Web-A)サーバ(Web-B)は、全てセキュリティレベルが高いデータセンターに移設しており、さらにログ保全の強化ならびに下記の不正アクセス対策強化を行いました。
- IPS(Intrusion Prevention System)の導入
- 8月21日に、データセンターにて弊社が運営している全サーバを対象に、ネットワークレベルの利用侵入防止ツールIPSを導入しました。
- WAF(Web Application Firewall)の導入
- 8月29日に、データセンターにて弊社が運営しているWeb関連の全サーバを対象に、アプリケーションレベルの不正利用防止ツールWAFを導入し、同時に24時間の有人監視体制を構築しました。
- 基幹システムの刷新
- かねてから開発をしてきた弊社の新基幹システムは、カード情報を保有しない方式を採用しております。平成25年度中の切り替えを実施する予定で進めています。
対応後の8月29日以降のサーバの構成
システム的な取り組みはもちろんのこと、真の課題として運用に携わる人員の意識改革、スキル向上が必須であると考えております。具体的には、PCI-DSSの取得に向けたプロセスと並行して、外部教育機関の支援を受けたトレーニングの実施、運用プロセスの徹底を図るための管理体制強化、一部運用業務のアウトソーシングによる人員補強なども行って参ります。
以上