2016年11月09日

弊社システムへの不正アクセスに関するFAQ

お客様各位

カゴヤ・ジャパン株式会社

代表取締役

北川貞大

不正アクセスによるお客様契約情報流出に関するお詫びとご報告

このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による

不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてま

いりました。

調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセ

スにより外部に流出した可能性があることが判明いたしました（以下、「本件」といいます）。

本件の詳細につきましては、下記のとおりご報告いたしますとともに、 お客様ならびにご関係者の

皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。

記

1.事案概要

(1)流出の対象期間：2015年4月1日～2016年9月21日

※脆弱性があった期間を想定

(2)原因・不正アクセスの手口

第三者の不正アクセスにより、OSコマンドインジェクション(※)の脆弱性を利用されて、

DBサーバー内の情報を不正取得された。

(※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を受け付けるような

WEBサイトでプログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて

不正に操作する攻撃のことです。

(3)流出の規模(疑いを含む)

①個人情報の件数：48,685件(人数)

②クレジットカード情報の件数：20,809件(カード番号の数)

※2016年9月21日までに弊社をご利用いただいた全てのお客様が対象となります。

(すでに解約されたお客様を含みます。)

(4)流出した情報(疑いを含む)

①氏名(カード名義人名)

②住所

③電話番号

④メールアドレス

⑤ご契約アカウント名・パスワード

⑥クレジットカード番号

⑦有効期限

2.発覚と対応の経緯

(1)2016年9月16日、社内スクリーニング(ふるい分け選別調査)の結果、複数のお客様サーバーに

プログラムファイルがアップロードされている状況が判明いたしました。社内調査を進めた結果、

第三者から弊社システムのデータベースサーバーへ不正侵入された形跡を確認し、お客様のパス

ワードが流出した可能性があることが判明いたしました。

(2)被害拡大防止のため、緊急対策といたしまして、弊社で流出した可能性のあるパスワードを全て

変更し、個別にご案内させていただきました。

(3)不正アクセスの全容解明および被害状況の把握に向け、社内調査を進めるとともに、外部の専門

調査会社である「Payment Card Forensics株式会社」(以下、「PCF社」といいます。)に依頼し、

調査を実施しました。

(4)2016年10月24日、PCF社より調査結果報告を受領しました。同社の報告を受け、個人情報等の

流出の疑いが確定しました。

3.弊社の対応

(1)お客様への対応

①情報流出対象のお客様に、電子メールおよび郵送にて、お詫びと注意喚起を直接ご案内させていた

だいております。

②お客様からのお問い合わせに対応できるよう、特設窓口を設置いたしました。

(2)関係官庁への報告

個人情報認定保護団体、総務省(近畿総合通信局)および経済産業省に報告を行いました。

(3)警察への報告

京都府警察サイバー犯罪対策課に報告を行いました。

(4)不正アクセスの監視強化

本件発覚以降、各種監視を強化し、継続監視中です。

なお現在、不正アクセスは確認されておりません。

(5)セキュリティ対策の強化

発覚以降、不正アクセスによる情報流出のないよう、次のセキュリティ対策を実行いたしました。

①不正アクセスのあったカード情報をすべて削除し、国際カード会社のセキュリティ基準である

PCIDSSに準拠する決済代行会社に決済業務を委託いたしました。

②不正ファイルの設置ができないように制限するとともに、ファイルアップロードエリアの監視

を強化いたしました。

(6)クレジットカードの不正利用モニタリングの実施要請

クレジットカード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼し、

実施していただいております。

4.お客様へのお願い

(1)クレジットカード利用明細書で身に覚えのないクレジットカードの利用履歴がないかご確認を

お願いいたします。流出した可能性があるクレジットカード情報につきましては、お客様に

ご迷惑がかからないよう、弊社より各クレジットカード会社へ、不正利用の監視強化を依頼し

ております。万が一、カード明細書に身に覚えのない請求がございました場合は、クレジット

カード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。

(2)カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望

の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきま

すようお願い申し上げます。(カード情報の確認には、個人情報の確認も必要となる為、

ご不便とご面倒をお掛けいたしますが、お客様ご自身でご対応の程お願い申し上げます。)

なお、カード再発行の手数料につきましては、お客様のご負担にならないようカード会社へ

依頼しております。

(3)本件に関するメールにはファイルを添付してお送りすることはございません。

不審なメールについては、メール及び添付ファイルの開封を控えるなど、くれぐれもご注意

くださいますよう、お願いいたします。

(4)お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡をお願いいたします。

警察および関係官庁と連携し、誠実に対応を進めてまいります。

5.再発防止策(セキュリティ対策の強化)

弊社は、二度と同様の事案を起こすことのないよう、発覚以降に実施しておりますセキュリティ

対策に加え、外部に開放されていないシステムを含め、各種対応を実施してまいります。

(1)個人情報管理に対する意識の徹底と個人情報保護マネジメントシステム(PMS)の的確な実施

(2)情報セキュリティ管理体制および情報セキュリティインフラの整備と強化、また、ネットワーク

上のふるまい検知など、新技術を利用した不正侵入対策の導入を検討中でございます。

弊社は本件の発生を受け、今後も継続してセキュリティの高いシステム構築を推進して参りますと

ともに、新技術も取りいれた多層化多重化による防御策を実行し、不正アクセス等の早期発見、

早期対応に努めてまいります。

このたびは、お客様ならびにご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしております

ことを重ねてお詫び申しあげます。

以下、弊社システムへの不正アクセスに関するご報告（一覧）

12月26日13時30分：【重要】クレジットカード決済サービス再開(新規申込み・決済方法変更を含む)のお知らせ

11月10日16時01分：「お客様情報流出事案 専用ダイヤル」受付時間延長と土日開設のお知らせ

9月21日14時40分：【重要】クレジットカード決済サービスの一時停止（新規申込み・決済方法変更のみ）のお知らせ

9月18日17時32分：弊社コールセンター不通についてのお詫び

9月18日14時05分：【修正】ご契約アカウントのパスワード変更について

9月18日11時20分：【追加】「ご登録メールアドレス」で受信いただけないお客様

9月18日7時42分：【修正】ご契約アカウントのパスワード変更について

9月16日21時44分：弊社システムへの不正アクセスに関するご報告とお詫び