2015/07/16

不正アクセスによる会員情報漏洩のお詫びとご報告

　この度、弊社が運営しております「涸沢フェスティバル特設サイト」（http://special.yamakei.co.jp/karasawa/）のウェブサーバを経由して、ヤマケイオンラインの会員データベース・サーバに対して外部から不正アクセスがあり、サーバ内の一部情報が取得された旨が判明いたしました。この不正アクセスにより取得された情報は以下の通りです。

１)漏洩が確認された会員情報
ヤマケイオンライン会員データ 580 件
対象項目 : メールアドレス 579件、パスワード(暗号化済) 1件

２）内容
不正アクセスの内容については、「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供を情報セキュリティ団体〔JPCERTコーディネーションセンター（以下JPCERT）〕より受けました。現状では、情報が公開・悪用されていることは確認されていません。

３）経緯
2015年7月6日（月）、JPCERTより、弊社ウェブサービスに係るシステムの脆弱性について連絡を受け、JPCERTへのヒアリングとあわせ弊社にて調査を行った結果、以下の点を確認しました。
①対象サイトにて「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供があったこと
②6月8日（月）時点で不正アクセスがなされた痕跡
③提供された情報に該当するシステム上の脆弱性

４）対策
このたび確認された脆弱性については、調査を開始した2015年7月6日（月）のうちにシステム上のプログラム修正ほか適切な処置を行い、不具合を解消しておりますことをあわせてご報告いたします。
　
弊社では、ネットワークシステムのセキュリティ対策を講じてまいりましたが、これがまだまだ不十分であったことを痛感、今回の事態を真摯に受け止め、改めて情報セキュリティ対策の強化を進め再発防止に努めてまいる所存です。また、2015年7月6日（月）の調査開始から、正確な被害範囲の検証に時間を要しましたことを重ねてお詫び申し上げます。

2015年7月16日
株式会社　山と溪谷社
代表取締役社長　関本彰大

----------------------------------------------------------------

＊追記内容
7月14日：新たに確認された経緯をもとに、以下の通り「３）経緯」を訂正しました。
(変更前)
①第三者が「脆弱性の検証目的で不正アクセスを図り、その際に弊社データベース・サーバ内の一部情報を取得した」旨をJPCERTに報告してきたこと
②6月8日（月）時点で不正アクセスがなされた痕跡
③JPCERTからの連絡内容に該当するシステム上の脆弱性
(変更後)
①対象サイトにて「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供があったこと
②6月8日（月）時点で不正アクセスがなされた痕跡
③提供された情報に該当するシステム上の脆弱性

7月16日：以下の通り「２）内容」を訂正しました。
（変更前）

不正アクセスの内容については、「脆弱性検知ツールを使い、検証目的で当該サイトの脆弱性を発見し、データベース・サーバ内の一部情報を取得した後に自ら情報セキュリティ団体〔JPCERTコーディネーションセンター（以下JPCERT）〕にその旨を報告している」というものであるため、悪意のある攻撃ではなく、取得された情報が悪用される可能性は低いと思われます。
（変更後）
不正アクセスの内容については、「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供を情報セキュリティ団体〔JPCERTコーディネーションセンター（以下JPCERT）〕より受けました。現状では、情報が公開・悪用されていることは確認されていません。

以上です。

本件に関するお問い合わせ先
株式会社山と溪谷社　ヤマケイオンライン部
担当　神谷有二
電話番号　03-6744-1905　午前10時～午後6時（土・日・祝日を除きます）
メールアドレス　yamakei-online@yamakei.co.jp