« F100fd到着 | トップページ | マイクラ »

2008年8月 7日 (木)

ナチュラム最大65万件の個人情報流出

ほんと、たまたまナチュラムにアクセスしたら、いきなりパスワード変更の画面にとばされた。

なんだ????

定期的にパスワード変更しないとセキュリティ上なんかあっても知らないよ的な文章でしたが、こういうのってなんかあるに違いないととりあえずパスワード変更。

で、TOP画面に行き着いたんですけど、一番上のところに凄い小さいリンクが。

http://www.minerva-hd.com/faq_c_080806/top_080806.html#1

おいおい、えらいことになってます。

7月にカード会社からの指摘でわかっただと?ひでぇなぁ。

発表8月6日だよ。しかも、ほぼ全顧客か。

たまたま、見たから知ったけど見なかったらどうするんだ?知らないままだよ。

さらに、なんか会社名変わってる。

分社化してやがる。最後はトカゲのしっぽ切って終わり?で新しい会社作って引き継ぐのか?

ああ、とりあえず登録してあるメールアドレスのチェックとカードの利用明細をチェック。特に異常がないのでこのまま監視することに。

ちっ。退会しても情報はなんにもならんし、なんかの保証の面や情報も受けられないからとりあえず、そのまま様子見だ。

2ちゃんねるでも盛り上がってますね。

以下、引用。

各位
ミネルヴァ・ホールディングス株式会社
(旧株式会社ナチュラム)
代表取締役会長兼社長 中島成浩
「アウトドア&フィッシング ナチュラム」への
不正アクセス発生についてのご報告とお詫び

 このたび、弊社子会社であります、ナチュラム・イーコマース株式会社が運営するウェブサイト「アウトドア&フィッシング ナチュラム (http://www.naturum.co.jp/)」(以下「本サイト」と申します。) のウェブサーバー等に外部からの不正アクセスがあり、その内容を調査いたしましたところ、本サイトをご利用いただいておりますお客様の個人情報が、海外からの不正アクセスにより流出した可能性があることを確認いたしました。

  お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。 弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に社員一同、全力で取り組む所存です。

  現在、本サイトはセキュリティ専門会社の指導のもと、24時間体制の不正アクセス監視、全システムにおいて脆弱性の全面チェック及び不正アクセス対策の強化を既に完了しており、安心してご利用いただける環境にあります。今後とも「アウトドア&フィッシング ナチュラム」をよろしくお願い申し上げます。

  本件に関する経緯、不正アクセスの内容等につきまして下記の通りご説明させていただきます。

1.経緯
 ● 2008年7月9日
   クレジットカード会社より、カード情報流出の可能性があるため、
弊社へ調査の依頼があった。
 ● 2008年7月10日
  第三者機関であるセキュリティ専門会社による調査を開始。
  外部より不正アクセスの痕跡を発見するが、
現時点で情報流出の有無は不明。
  不正アクセスの可能性のある外部からのルートをすべて遮断。
  念のため、システム内のクレジットカード情報をすべて削除し、
クレジット決済を一時休止。
  全システムのセキュリティチェックおよび不正アクセス防止強化策を実施。
 ● 2008年7月18日
  不正アクセスの内容として個人情報が閲覧された痕跡を確認。
  流出の可能性があるお客様の特定作業を開始。
 ● 2008年7月22日
  セキュリティ専門会社による診断により、システムの
安全性が確認されたため、クレジットカード決済を再開。
 ● 2008年8月6日
  ミネルヴァ・ホールディングス株式会社(旧株式会社ナチュラム)およびナチュラム・イーコマース株式会社のホームページ上で発表。 流出の可能性がありEメールアドレスを保持していたお客様にお知らせを配信。
2.不正アクセスの内容 及び今後の対応
 (1) 侵入経路など
     セキュリティ専門会社による詳細なログ分析の結果、犯人は、本サイトのメンテナンス用サーバーに不正に侵入し、このサーバーを経由してウェブサーバーに不正アクセス用プログラムを設置したものと思われます。
現在は、不正アクセス用プログラムはすべて排除され、侵入経路となりうる部分はすべて外部から遮断されております。 さらにIPS(不正侵入防止システム)による24時間監視体制を行っており、セキュリティ専門会社により安全性が確認されております。
 なお、弊社では不正アクセスに該当するものとして関係官公署に相談を開始。警察の指導のもと捜査用データ及び証拠書類を提出、捜査に全面的に協力しております。

 (2) 閲覧された痕跡のあるデータについて
     犯人が設置したと思われる不正アクセス用プログラムは「アウトドア&フィッシング ナチュラム (http://www.naturum.co.jp/)」において、2000年5月~2008年7月10日の間にお買い物、もしくは会員登録など、本サイトのサービスを利用されたお客様の個人情報が格納されている「顧客マスター」を閲覧できる機能を有しておりました(※)。
 この事実から、弊社では「顧客マスター」のデータが流出した可能性が高いと考えております。
  「顧客マスター」に格納された個人情報は以下の3つのサイトの
利用者が対象となります。
 「アウトドア&フィッシング ナチュラム(http://www.naturum.co.jp/)」
 「ナチュラムモバイルショップ(http://m.naturum.co.jp/)」
 「blog@naturum(http://blog.naturum.ne.jp)」
   
 「顧客マスター」の個人情報項目は下記の通りとなっております。
---必須項目---
  1. ログイン用ユーザーID
2. ログイン用パスワード
3. 氏名
4. Eメールアドレス
  ---任意項目---
  5. 住所
6. 携帯電話番号
7. 電話番号
8. FAX番号
9. 生年月日
10. クレジットカード名義
11. クレジットカード有効期限
12. クレジットカード番号(下4桁は保持しておりません)
13. 家族構成管理コード(当社固有の管理番号にて保持)
14. 性別管理コード(当社固有の管理番号にて保持)

 (3) 流出の可能性のあるデータについて
    653,424件(全対象データ)
上記のうち
クレジットカード番号(下4桁は保持しておりません)が含まれるもの86,169件
※お客様のクレジットカード登録状況については、弊社コールセンターにお尋ね下さい。
  セキュリティ専門会社の詳細なログ分析においても、実際の流出内容および件数は不明となっております。
上記、流出の可能性のあるデータ件数は、不正アクセスを受けた当時のデータベース状況から考えられる最大値となっております。

 (4) クレジットカード会社との協調について
     弊社では下4桁を除くクレジットカード番号の流出の可能性を確認しておりますが、その他不正アクセスの痕跡がない部分でも流出の可能性を鑑み、顧客マスター以外で保有しておりました全クレジットカード番号242,741件をクレジットカード会社と共有し、万全を期して対応にあたっております。

 (5) 今後のセキュリティ対策について
     今後、セキュリティを一層強化するため、現在認証を受けておりますTRUSTe(※1)に加えまして、PCIDSS(※2)の準拠に向けて取り組んで参ります。詳細なスケジュールにつきましては、後日公表させていただきます。

(※1)TRUSTe…TRUSTe(トラストイー)シールプログラムは、第三者審査機関が審査・認証を行うことにより、個人情報を扱うウェブサイトが利用者に対する 信用度・信頼度を向上するために1997年アメリカにて誕生した、「個人情報保護第三者認証シールプログラム」です。
(※2)PCIDSS…PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

 (6) 本件に関する専用お問い合わせ窓口

【専用フリーダイヤル
0120-560-682
受付時間:
8月6日~8日…9時~21時
8月9日以降…9時~18時

専用お問い合わせ窓口(メールフォーム)

|

« F100fd到着 | トップページ | マイクラ »

コメント

げっ。
ここで購入したことある気が・・・。(-_-;

投稿: くろ | 2008年8月 7日 (木) 22:35

> くろさん
楽天でもYahoo!でも、検索するとヒットする会社なので困ったものです。そもそも漏れるという感覚でいないとヤバイ時代なんでしょうかね。あーやだやだ。ちゃんとして欲しいです。

投稿: スノモノ | 2008年8月 8日 (金) 08:17

コメントを書く



(ウェブ上には掲載しません)




« F100fd到着 | トップページ | マイクラ »