2009年8月から2011年12月までの2年間、いなだ社会保険労務士事務所は、KAGOYAというレンタルサーバーの専用サーバー50というプランを契約していました。
毎月9,000円くらいでしたが、メルマガを配信する読者数が当時でも1万通は超えていましたので、共有サーバーでは無理。サーバーを丸ごと1台借りる必要がありました。
ただ、使っていくうちに性能的に正直あまり満足しませんでした。今はもうないプランですが、専用サーバー50というプランは専用サーバーの中では下の方だったので、メモリも1GBなどサーバーの性能としてはそれほどよくはないし、DB追加などがオプションだったり、HPの表示速度なども遅く、コスパの面で疑問を感じていました。
コントロールパネルも使いやすいとは思いませんでしたので、最終的には現在も使っている「
」プランで1台丸ごと契約し、そちらに引っ越し、カゴヤは解約しました。今が2016年11月のことなので、もう5年も前の話です。
ところが、本日、驚きのメールが届きました。
KAGOYAサーバーをもう何年も前に解約しているのに、なに?と思って開いてみると
弊社がビジネスで使っているクレジットカード情報がKAGYAから流出したとのこと
お客様各位
カゴヤ・ジャパン株式会社
代表取締役社長
北川貞大不正アクセスによるお客様契約情報流出に関するお詫びとご報告
このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてまいりました。
調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセスにより外部に流出した可能性があることが判明いたしました(以下、「本件」といいます)。
本件の詳細につきましては、下記のとおりご報告いたしますとともに、お客様ならびにご関係者の皆さまに、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。
記
1.事案概要
(1)流出の対象期間:2015年4月~2016年9月21日
※脆弱性があった期間を想定(2)原因・不正アクセスの手口
第三者の不正アクセスにより、OSコマンドインジェクション(※)の脆弱性を利用されて、DBサーバー内の情報を不正取得された。(※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を受け付けるようなWEBサイトでプログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて不正に操作する攻撃のことです。
(3)流出の規模(疑いを含む)
①個人情報の件数:48,685件(契約数)
②クレジットカード情報の件数:20,809件(カード番号の数)
※2016年9月21日までに弊社をご利用いただいた全てのお客様が対象となります。(すでに解約されたお客様を含みます。)(4)流出した情報(疑いを含む)
①氏名(カード名義人名)
②住所
③電話番号
④メールアドレス
⑤ご契約アカウント名・パスワード
⑥クレジットカード番号
⑦有効期限2.発覚と対応の経緯
(1)2016年9月16日、社内スクリーニング(ふるい分け選別調査)の結果、複数のお客様サーバーにプログラムファイルがアップロードされている状況が判明いたしました。社内調査を進めた結果、第三者から弊社システムのデータベースサーバーへ不正侵入された形跡を確認し、お客様のパスワードが流出した可能性があることが判明いたしました。(2)被害拡大防止のため、緊急対策といたしまして、弊社で流出した可能性のあるパスワードを全て変更し、個別にご案内させていただきました。
(3)不正アクセスの全容解明および被害状況の把握に向け、社内調査を進めるとともに、外部の専門調査会社である「Payment Card Forensics株式会社」(以下、「PCF社」といいます。)に依頼し、調査を実施しました。
(4)2016年10月24日、PCF社より調査結果報告を受領しました。同社の報告を受け、個人情報等の流出の疑いが確定しました。
3.弊社の対応
(1)お客様への対応
①情報流出対象のお客様に、電子メールおよび郵送にて、お詫びと注意喚起を直接ご案内させていただいております。
②お客様からのお問い合わせに対応できるよう、特設窓口を設置いたしました。(2)関係官庁への報告
個人情報認定保護団体、総務省(近畿総合通信局)および経済産業省に報告を行いました。(3)警察への報告
京都府警察サイバー犯罪対策課に報告を行いました。(4)不正アクセスの監視強化
本件発覚以降、各種監視を強化し、継続監視中です。なお現在、不正アクセスは確認されておりません。(5)セキュリティ対策の強化
発覚以降、不正アクセスによる情報流出のないよう、次のセキュリティ対策を実行いたしました。①不正アクセスのあったカード情報をすべて削除し、国際カード会社のセキュリティ基準であるPCIDSSに準拠する決済代行会社に決済業務を委託いたしました。
②不正ファイルの設置ができないように制限するとともに、ファイルアップロードエリアの監視を強化いたしました。(6)クレジットカードの不正利用モニタリングの実施要請
クレジットカード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼し、実施していただいております。4.お客様へのお願い
(1)クレジットカード利用明細書で身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ、不正利用の監視強化を依頼しております。万が一、カード明細書に身に覚えのない請求がございました場合は、クレジットカード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。(2)カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。(カード情報の確認には、個人情報の確認も必要となる為、ご不便とご面倒をお掛けいたしますが、お客様ご自身でご対応の程お願い申し上げます。)
なお、カード再発行の手数料につきましては、お客様のご負担にならないようカード会社へ依頼しております。(3)本件に関するメールにはファイルを添付してお送りすることはございません。
不審なメールについては、メール及び添付ファイルの開封を控えるなど、くれぐれもご注意くださいますよう、お願いいたします。(4)お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡をお願いいたします。警察および関係官庁と連携し、誠実に対応を進めてまいります。
5.再発防止策(セキュリティ対策の強化)
弊社は、二度と同様の事案を起こすことのないよう、発覚以降に実施しておりますセキュリティ対策に加え、外部に開放されていないシステムを含め、各種対応を実施してまいります。(1)個人情報管理に対する意識の徹底と個人情報保護マネジメントシステム(PMS)の的確な実施
(2)情報セキュリティ管理体制および情報セキュリティインフラの整備と強化
また、ネットワーク上のふるまい検知など、新技術を利用した不正侵入対策の導入を検討中でございます。弊社は本件の発生を受け、今後も継続してセキュリティの高いシステム構築を推進して参りますとともに、新技術も取りいれた多層化多重化による防御策を実行し、不正アクセス等の早期発見、早期対応に努めてまいります。
このたびは、お客様ならびにご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申しあげます。
===【本件に関するお問い合わせ先】=======================================
<お客様情報流出事案 お問い合わせ専用ダイヤル>
フリーダイヤル:00120-102-291 (平日:月~金 10:00~18:00)
メールアドレス:support@kagoya.com※操作説明や障害など、当社サービスに関するお問い合わせ時間と異なりますのでご注意ください。
※複数の回線を用意しておりますが、つながりにくい状況が想定されます。
電子メールでもお問い合わせに対応させていただきますので、お電話がつながりにくい場合は電子メールでのご連絡もご活用ください。========================================================================
・・・・・は??
その後、フリーダイヤル番号を間違えたという連絡が来て、00120→0120という連絡があったのですが、、、、こういう弁護士も入れて何度も見直したであろう連絡メールを間違えることも、企業信用に関わることです。
というか、、、、5年前に解約したユーザーのクレジットカード情報を保管してたの?
今使っているユーザーであれば分かります。
なんで、解約したユーザーのクレジットカード情報をレンタルサーバー会社が自社で持ち続けているのか?
しかも5年も前の。
この内容を見れば、10年前のユーザーでも持っているのかもしれません。
見限って解約したユーザーに
「個人情報が流出しました。クレジットカード会社には連絡しました。以後気をつけます」
といったメールが送られてくるだけ。しかも、2016/9/24にまずいと思って虚弱性を修正し、調査会社にお金を払って調べてもらって、10/24に確定し、連絡が11/10です。
ありえんわ。ほんと。
2015年4月以降クレジットカードで不正利用があったか注意してほしいか。。。
なんじゃそりゃ。怒りしかないですね。
KAGOYAも被害者だろうし、不正アクセスがあったのはセキュリティ対策不足として改善するとしても、解約したユーザーのクレジットカード情報を持ち続けていることは言い訳にならない。
再発防止は当たり前として、そもそも顧客のクレジットカード情報を保管するとか、どうかしている決済方法を見直すべきじゃないのか?
※いなだ社会保険労務士事務所では、当然ながら顧客のクレジットカード情報は一切、自社にもっていません。怖すぎます。
とりあえず、メールが来ていると思うので過去にKAGOYAサーバーを使ったことがある企業は、クレジットカードの不正利用がなかったかをチェックしておきましょう。過去も、未来も。
場合によっては、クレジットカードの再発行が必要になるかもしれませんので。