【ホビボックス】不正アクセスによる外部からのお客様個人情報閲覧に関するお詫びとご報告[10/11]
1 :イセサコφ ★:
このたび、弊社の運営する「CLUB HOBi」(クラブホビ)サーバーが不正アクセスによる攻撃を受け、
調査を行いましたところ、お預かりしておりますお客様の個人情報の一部が不正に
閲覧・取得された可能性があることを確認いたしました。
調査の結果、速やかに「CLUB HOBi」を閉鎖するとともに、不正アクセス事件として、
警察に被害届を提出しております。
この度は、不正アクセス事件とはいえ、平素より当社サイトをご利用いただいております
お客様をはじめ、関係の皆さまに対しまして多大なご迷惑とご心配をおかけいたしましたことを、
深くお詫び申し上げます。
また、本件専用の問い合わせ電話ダイヤル及びメールアドレスにて
お客様に誠意をもってご対応させていただく所存です。
不正アクセスの内容等、現在までの経緯と判明しております事実及び今後の対応につきましては、
下記の通りでございます。
■確認された事実
▼不正アクセスの日時と攻撃手法
2011年10月4日(火)午前7時55分42秒〜午前9時30分24秒にかけ、大量かつ断続的に、
弊社運営通信販売サイト「CLUB HOBi」データベースサーバー内のデータベースに対して、
SQLインジェクション(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)
が行われたことをログ解析により確認いたしました。
▼不正に閲覧・取得された可能性が確認された情報件数及び内容
件数:延べ3,471件の情報
内容:お客様の氏名、住所、ID、パスワード、暗号化されたクレジットカード情報
■今後のご対応について
▼お客様のご対応について
情報漏えいの可能性が確認されているお客様へ個別にメールまたは郵送にてご連絡させていただきます。
また、専用の問い合わせ電話ダイヤル及びメールアドレスを開設し、ご対応させていただきます。
■「CLUB HOBi」の今後の運営について
現在、検討中です。決まり次第、当ホームページでご案内いたします。
▼情報セキュリティ対策について
「CLUB HOBi」以外のシステムを含め、脆弱性がないか緊急点検および、修正を適宜実施しております。
また、必要な施策を引き続き適切に実施してまいります。
弊社としましては、今回の事態を厳粛に受け止め、二度とこのような事態を招かぬよう、
専門の危機管理コンサルティング会社その他の専門家の協力を得ながら、
全社一丸となって再発の防止に取り組み、皆様からの信頼の回復に努めて参る所存でございます。
https://www.clubhobi.net/index.html
>>2に続きます。
調査を行いましたところ、お預かりしておりますお客様の個人情報の一部が不正に
閲覧・取得された可能性があることを確認いたしました。
調査の結果、速やかに「CLUB HOBi」を閉鎖するとともに、不正アクセス事件として、
警察に被害届を提出しております。
この度は、不正アクセス事件とはいえ、平素より当社サイトをご利用いただいております
お客様をはじめ、関係の皆さまに対しまして多大なご迷惑とご心配をおかけいたしましたことを、
深くお詫び申し上げます。
また、本件専用の問い合わせ電話ダイヤル及びメールアドレスにて
お客様に誠意をもってご対応させていただく所存です。
不正アクセスの内容等、現在までの経緯と判明しております事実及び今後の対応につきましては、
下記の通りでございます。
■確認された事実
▼不正アクセスの日時と攻撃手法
2011年10月4日(火)午前7時55分42秒〜午前9時30分24秒にかけ、大量かつ断続的に、
弊社運営通信販売サイト「CLUB HOBi」データベースサーバー内のデータベースに対して、
SQLインジェクション(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)
が行われたことをログ解析により確認いたしました。
▼不正に閲覧・取得された可能性が確認された情報件数及び内容
件数:延べ3,471件の情報
内容:お客様の氏名、住所、ID、パスワード、暗号化されたクレジットカード情報
■今後のご対応について
▼お客様のご対応について
情報漏えいの可能性が確認されているお客様へ個別にメールまたは郵送にてご連絡させていただきます。
また、専用の問い合わせ電話ダイヤル及びメールアドレスを開設し、ご対応させていただきます。
■「CLUB HOBi」の今後の運営について
現在、検討中です。決まり次第、当ホームページでご案内いたします。
▼情報セキュリティ対策について
「CLUB HOBi」以外のシステムを含め、脆弱性がないか緊急点検および、修正を適宜実施しております。
また、必要な施策を引き続き適切に実施してまいります。
弊社としましては、今回の事態を厳粛に受け止め、二度とこのような事態を招かぬよう、
専門の危機管理コンサルティング会社その他の専門家の協力を得ながら、
全社一丸となって再発の防止に取り組み、皆様からの信頼の回復に努めて参る所存でございます。
https://www.clubhobi.net/index.html
>>2に続きます。
|
|
|
■経緯
10月4日(火)
・9:30 弊社通信販売サイト「CLUB HOBi」運用サーバー(以後、当該サーバーと略)を監視する
システム情報から異常に気付き、原因調査を開始
・10:00 当該サーバーがSQLインジェクションによる攻撃を受けていることが判明
「CLUB HOBi」をメンテナンス表示にて一時閉鎖処理を行なう
・10:30 個人情報の流出が起きていないかを代替環境で再現検証の開始
※アクセスログから攻撃者の行動記録を再現
当該サーバーにおいては、攻撃対象箇所へのSQLインジェクション対策を実施
・11:00 再現検証の途中結果を確認したところ、当該サーバーで情報が漏えいしていたことを確認
当該サーバーについて、実際に閲覧された可能性のある個人情報と件数の調査を開始
▼10月5日(水)
調査の結果、情報漏えいの規模が明らかとなったため、以下諸団体へ連絡する
・所轄警察署に被害を届出
・経済産業省へ被害状況を報告
・情報処理推進機構(IPA)へ被害届を提出
・不正アクセスの発信元と思われる通信事業者の不正アクセス対策窓口へ連絡
・危機管理コンサルティングを招き、今後の対処について協議
▼10月6日(木)〜10月10日(月)
漏えい対象データを特定するための解析作業
危機管理コンサルティングを継続して協議
お問い合わせ受付体制の準備
▼10月11日(火)
情報漏えいの可能性がある対象者(3,471人)へご案内メールを送信
お問い合わせコールセンター解説
お問い合わせ専用メールアドレスの運用開始
本サイト上にて告知(当ページ)
10月4日(火)
・9:30 弊社通信販売サイト「CLUB HOBi」運用サーバー(以後、当該サーバーと略)を監視する
システム情報から異常に気付き、原因調査を開始
・10:00 当該サーバーがSQLインジェクションによる攻撃を受けていることが判明
「CLUB HOBi」をメンテナンス表示にて一時閉鎖処理を行なう
・10:30 個人情報の流出が起きていないかを代替環境で再現検証の開始
※アクセスログから攻撃者の行動記録を再現
当該サーバーにおいては、攻撃対象箇所へのSQLインジェクション対策を実施
・11:00 再現検証の途中結果を確認したところ、当該サーバーで情報が漏えいしていたことを確認
当該サーバーについて、実際に閲覧された可能性のある個人情報と件数の調査を開始
▼10月5日(水)
調査の結果、情報漏えいの規模が明らかとなったため、以下諸団体へ連絡する
・所轄警察署に被害を届出
・経済産業省へ被害状況を報告
・情報処理推進機構(IPA)へ被害届を提出
・不正アクセスの発信元と思われる通信事業者の不正アクセス対策窓口へ連絡
・危機管理コンサルティングを招き、今後の対処について協議
▼10月6日(木)〜10月10日(月)
漏えい対象データを特定するための解析作業
危機管理コンサルティングを継続して協議
お問い合わせ受付体制の準備
▼10月11日(火)
情報漏えいの可能性がある対象者(3,471人)へご案内メールを送信
お問い合わせコールセンター解説
お問い合わせ専用メールアドレスの運用開始
本サイト上にて告知(当ページ)
3 :名前を出せずごめんなさい:2011/10/11(火) 22:30:57.99
こわい
4 :名前を出せずごめんなさい:2011/10/11(火) 22:32:33.84
今時、SQLインジェクションとか
5 :名前を出せずごめんなさい:2011/10/11(火) 23:13:42.25
サニタイズ
6 :名前を出せずごめんなさい:2011/10/12(水) 00:42:22.83
告知ページは文章じゃなくてやはり画像かw
画像でのお詫び禁止しようぜ