(本FAQは「不正アクセス発生に関する調査報告と情報漏えいのお詫び」に関するものです。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■特によく頂くご質問とその回答
これまで特にお問い合わせが多いご質問について、ここに掲載しております。
【Q】
すぐに私の情報を削除して欲しい(登録削除希望)
【A】
お客様情報の変更、削除などにつきましては、ご本人確認が困難な場合が想定されるため、お電話ではお受けしておりません。誠にお手数ですが電子メール(info@ehonnavi.netまたはsupport@ehonnavi.net)にて、ご登録されているメールアドレスのほか、ニックネームまたはお名前をご記入の上ご依頼をいただけますでしょうか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■状況・経緯について
【Q01】
2008年6月20日に起こったHP障害の内容はどのようなものか?
【A01】
2008年6月20日深夜2時頃、弊社Webサイトにおいて一部ページが改ざんされ不正ファイルが混入し、当該ページにアクセスした時に、悪意のある不正なファイルに感染する恐れが発生いたしました。いわゆるSQLインジェクションという手法を使った不正アクセスであり、インターネット上からデータを操作する攻撃です。今回の改ざんは弊社Webサイトの脆弱な部分が攻撃されたものと分析しております。
すでに、各Webページにおける脆弱性対策を実施し、2008年6月20日21時頃にサービスを再開しました。
⇒詳しくは、http://newblog.ehonnavi.net/2008/06/web.htmlを参照ください。
────────────────────────────────────────
【Q02】
データ漏えいの内容はどのようなものか?
【A02】
サーバーへの不正アクセスにより不正取得されていたのは、以下になります。
対象サービス:
・絵本ナビ(http://www.ehonnavi.net/)
・絵本ナビShop(http://shop.ehonnavi.net/)
・絵本クラブ(http://www.ehonnavi.net/club/)
対象情報:
・絵本ナビ・・・メンバー情報としてご登録頂いた
「ユーザーID(メールアドレス)+パスワード」
・絵本ナビShop・・・お買い物の際にご登録頂いた
「ユーザーID(メールアドレス)+パスワード」
・絵本クラブ・・・会員情報情報としてご登録頂いた
「ユーザーID(メールアドレス)+パスワード」
計27,469件の漏えいが確定しています。
ユーザーIDとパスワード以外は不正取得された形跡はありません。
────────────────────────────────────────
【Q03】
データ漏えいにどうして気づいたのか?
【A03】
6月20日の不正アクセス対処の一環として過去のシステムログを調査したところ、4月6日時点でSQLインジェクションによる弊社のデータが不正取得されている疑いが社内調査で明らかになりました。その後、専門の第三者機関である株式会社ラックに調査依頼を行い、漏えいの事実が確定いたしました。
────────────────────────────────────────
【Q04】
6月の障害と4月の漏えいは関係があるのか?
【A04】
関係ありません。
────────────────────────────────────────
【Q05】
データの漏えいに気づいてから正式な発表まで時間が開いているのはなぜか?
(関連FAQ Q16)
【A05】
6月25日(水)に専門の第三者機関である株式会社ラックに調査を依頼いたしました。これにより6月27日(金)には被害範囲のおおよその特定がなされ、7月8日(火)に被害範囲、件数が確定するとともに、当社のシステムセキュリティの改善点についてアドバイスを受けました。
当社としては、システムセキュリティの改善対処が終了していない段階でのお客様へのお詫びとご案内を実施することで、二次被害の発生が懸念されたため、改善対処完了を優先すべきと判断し、今回のお詫びとご案内にいたっております。
改善対処完了までの間は、不正アクセスが再度行われていないかどうかを全てのアクセスログの監視をすることで、お客様情報の保全を確保してきました。
────────────────────────────────────────
【Q06】
なぜサイトの閉鎖の措置を講じなかったのか?
【A06】
弊社の運営するサイトに関しましては、6月20日時点でいったん閉鎖させていただきましたが、お客様への不正なファイル感染を防ぐための一時的な措置が完了いたしましたので、同日夜21時ごろに再開しております。
ユーザーID、パスワードの漏えい事実が明らかになってから現在にいたるまでは、不正アクセスの有無について全てのアクセスログの監視を継続することでお客様情報の保全を図りつつ、抜本的なシステム改修の対応をしてまいりました。この監視をしていることを前提に、サイトの閉鎖をすることなく現在まで運営をしております。
────────────────────────────────────────
【Q07】
社内調査の後、第三者機関に調査を依頼したのはなぜか?
【A07】
弊社内部の調査ではその網羅性と徹底性に不十分な点が懸念されたため、第三者機関である株式会社ラックにはセキュリティに関する通信記録の分析調査を依頼しました。その結果、被害範囲の特定にいたりました。
────────────────────────────────────────
【Q08】
対象となるお客様の人数は?
【A08】
27,469名分が確認されています。
────────────────────────────────────────
【Q09】
絵本ナビShopのユーザーであるが、クレジットカードで支払をしている。クレジットカード情報は漏えいしていないのか?
【A09】
漏えいしておりません。弊社ではクレジットカードの決済代行会社様を通じてご購入いただいていますので、弊社側ではカード情報を保持しておりません。
────────────────────────────────────────
【Q10】
サーバーにあったデータは、すべて漏えいしているのか、それとも一部なのか?
【A10】
一部となります。
────────────────────────────────────────
【Q11】
サーバーにあったデータは暗号化などの処置をしていなかったのか?
【A11】
しておりませんでしたが、今回の件を受けて、一部暗号化して保存する体制に変更いたしました。
────────────────────────────────────────
【Q12】
氏名のデータは漏えいしていないのか?
【A12】
お客様の氏名情報は今回の不正取得の対象になっておりません。
────────────────────────────────────────
【Q13】
漏えいしたデータが不正に使用された報告はあるか?不正使用の件数は何件か?
【A13】
現在のところありません。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■お客様対応について
【Q14】
お客様はどうすればよいのか?
【A14】
弊社にて漏えいしたパスワードについては強制的に変更をさせていただき、その旨を電子メールでご案内させていただいております。大変お手数ではございますが、この変更のご案内にそって、パスワードを変更ください。
なお、他サイト等で同じユーザーIDとパスワードで登録されている場合は、変更を推奨いたします。
────────────────────────────────────────
【Q15】
漏えいしたデータでお客様にはどのような被害が想定されるのか?
【A15】
漏えいしたものはユーザーID(e-mailアドレス)とパスワードのみですので、「同じ組み合わせで他のサイトに登録されていれば、成りすまして利用される可能性」等が考えられます。
────────────────────────────────────────
【Q16】
被害が想定されるのに、速やかに情報開示しなかったのはなぜか?
(関連FAQ Q05)
【A16】
漏えいの範囲と内容が確定される前に情報公開することで、お客様に誤った情報をお伝えし混乱を招くことを避けたほうがよいと判断いたしました。またシステムセキュリティの対処が完了しない段階での公表は、二次被害を招く懸念もありました。
この対処が完了するまでは、同様の漏えいが発生していないかどうかの監視を継続してきました。
────────────────────────────────────────
【Q17】
漏えいしたデータでお客様が被害を受けた場合、その補償についてどのように考えているか?
【A17】
現在まで被害は確認されていませんが、確認された場合はその内容に基づいて、当社が誠意をもって対応いたします。
────────────────────────────────────────
【Q18】
データ漏えいが判明しているお客様への連絡・対応はどのようにしているのか?
【A18】
該当のお客様には、「不正アクセス発生に関する調査報告と情報漏えいのお詫び」と「新パスワード取得方法のご案内」という2通の電子メールをご登録されているメールアドレス向けにご案内させていただいております。また同時にホームページ上でも事実関係につきましてご説明をさせていただいております。
お客様にご登録されているメールでのご連絡ができない場合については、代替手段でのご連絡を進めてまいります。
────────────────────────────────────────
【Q19】
カード会社のお客様への対応はどのようになっているか?
【A19】
弊社のクレジットカード決済を代行していただいている会社様には今回の漏えいの事実を被害範囲が確定する前の7月4日(金)時点で報告をしております。すでにお客様にはご案内しておりますが、弊社ではクレジットカード情報は保持していない旨、改めて確認をしております。
────────────────────────────────────────
【Q20】
すぐに私の情報を削除して欲しい(登録削除希望)
【A20】
お客様情報の変更、削除などにつきましては、ご本人確認が困難な場合が想定されるため、お電話ではお受けしておりません。誠にお手数ですが電子メール(info@ehonnavi.netまたはsupport@ehonnavi.net)にて、ご登録されているメールアドレスのほか、ニックネームまたはお名前をご記入の上ご依頼をいただけますでしょうか。
────────────────────────────────────────
【Q21】
私の情報が漏えいしているかどうか確認したい。
【A21】
まず弊社サイトにご登録のメールアドレスで、弊社からのメール「件名:【絵本ナビ】不正アクセス発生に関する調査報告と情報漏えいのお詫び」を受信されているかどうかをご確認ください。
(ユーザーID(お客様のメールアドレス)とパスワードを4月6日以降、お客様自身によって変更されている場合は、4月6日時点にご登録いただいているメールアドレスに対してお詫びのメールをお送りしております。恐縮ですが以前のメールアドレスの受信状況をご確認ください)
受信されている場合は、誠に恐れ入りますが漏えいしていると認識されます。
────────────────────────────────────────
【Q22】
メールマガジン配信停止をしたいがどうしたらよいか?
【A22】
配信されているメールマガジンの末尾に、配信の中止についてご案内がございますので、ご確認の上、画面の指示に従って手続きください。
────────────────────────────────────────
【Q23】
不正アクセスとは、具体的にどんなことが起こったのか?
【A23】
SQLインジェクションという手法を使った中国からの不正アクセスで、インターネット上からデータの一部を閲覧、操作する攻撃を受けました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■原因究明、今後の対策、届け出について
【Q24】
不正アクセスの原因は何か?またいつ頃までに究明するのか?
【A24】
SQLインジェクションは、昨今のサーバーに対する不正アクセスの方法として一般化してきており、弊社においても、その対策を行っておりましたが、システムの一部に対策漏れがあることがこのたびのトラブル、およびその原因調査で判明いたしました。現在は脆弱性に対する対策はすでに実施されております。
────────────────────────────────────────
【Q25】
相談した警察はどこの警察か?被害届は提出したのか?
【A25】
7月2日(水)に警視庁 ハイテク犯罪対策総合センターに被害届を提出、7月4日(金)にはシステムログを任意提出しております。
────────────────────────────────────────
【Q26】
監督官庁への個人情報漏えいの届け出は行ったか?
【A26】
経済産業省に7月3日(木)夕刻、第一報として連絡いたしました。その後、随時経過報告をいたしております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(本FAQは「不正アクセス発生に関する調査報告と情報漏えいのお詫び」に関するものです。)