不正アクセスによるお客さま情報漏えいに関するお詫びとご報告(08.23追記)

(2022年8月23日 19:00追記)
この度は、お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げます。
弊社では、本年6月下旬以降、外部セキュリティ専門家の協力のもと、以下のシステムセキュリティ体制の強化策を講じてまいりました。

【システムセキュリティ強化策】
・社内及び外部機関による定期的な脆弱性診断の実施
・不正アクセスに対する監視システムの導入及び監視体制の強化
・アプリケーションの脆弱性を検知する静的解析を開発手順へ導入

なお、2022年6月15日に弊社サイトにて公表いたしました事案に関して、個人情報の不正流用等の事実は現在まで確認されておりません。

改めまして、お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げるとともに、お客さまのご不安の解消を図るべく一層のシステムセキュリティ強化と、内部統制やコンプライアンスの更なる向上を図り、お客さまの信頼回復に努めていく所存です。

--------------------

(2022年6月17日 15:10追記)
対象となるお客さまには、6月15日に弊社よりお詫びとお知らせに関する電子メールの送付が完了しております。
ご登録メールアドレス宛へ電子メールにてご連絡が付かなかった対象となるお客さまには、6月17日10:00よりご登録の電話番号へ弊社よりお詫びとお知らせに関するSMSを送付しております。
なお、ご登録メールアドレス及びSMSにて、ご連絡が付かなかった対象となるお客さまには、順次ご登録住所宛へ弊社よりお詫びとお知らせに関する文書を郵送にて送付させていただきます。

--------------------

この度、弊社が提供するCtoCマーケットプレイス「SNKRDUNK」において、外部から不正アクセス(サイバー攻撃)を受け、一部お客さまの個人情報が外部漏えいした可能性があることが判明いたしましたので、お知らせいたします。
なお、既に関係機関と連携し、外部セキュリティ専門家の協力を得ながらセキュリティ強化に取り組み、一次対応(詳細は後述の、4.現時点で実施済の措置をご参照ください。)については6月10日までに完了しております。また、現時点におきまして今回の事案に関わる個人情報の不正流用等の事実は確認されておりません。

お客さまの大切な個人情報をお預かりしていたにも関わらず、このような事態に至り、お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけしますことを心よりお詫び申し上げます。
引き続き、関係機関との連携、外部セキュリティ専門家の協力の基、再発防止策の検討を含めたさらなるセキュリティ強化に取り組んでおり、併せて本件に関する調査を継続し、新たにご報告すべき内容が判明した場合は、速やかにご報告いたします。

本件により漏えいした可能性のある情報の対象となる方々へは、本発表と同時に速やかに弊社より個別のご案内を実施していくほか、本件に関するお問い合わせ専用窓口も設置しております。

本件の経緯や対応について、以下の通りご報告いたします。

1.経緯

6月7日、SNKRDUNKのデータベースへの不正アクセスが発覚し、直ちに確認を行なった結果、一部お客さまの個人情報が漏えいしている可能性が判明いたしました。速やかに該当箇所へのセキュリティ対策を実施し、個人情報保護委員会への報告及び、警察署への第一報と被害相談を行い、このたびのご報告に至りました。

2.漏えいした可能性がある情報

・対象:「SNKRDUNK」に会員登録された一部のお客さま(対応については後述の、6.お客さまへの対応について をご参照ください)
・項目:氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(復号できないハッシュ化された状態)
・件数:2,753,400件
※全体の過半数となる約6割のお客さまについては、生年月日、メールアドレス、パスワード(復号できないハッシュ化された状態)のみが漏えいした可能性があります。
※漏えいした可能性がある口座情報は10件です。
※クレジットカード番号や本人確認書類に関しましては、本件に該当しておりませんのでご安心ください。

3.原因

不正なリクエストに対するDBデータを含めたレスポンス

4.現時点で実施済の措置

■ セキュリティ対策

・不正アクセス元をブロックし、対象URLにてレスポンスにエラー内容を含めないよう対処
・同様のリクエストに対し、他URLでもレスポンスにエラー内容を含めないよう対処
・WAFを導入し、不正アクセスのリクエストをブロック
・外部セキュリティ専門家にて改めてSNKRDUNKの脆弱性診断
・不正アクセスの監視強化
※海外にて利用可能なSNKRDUNK(英語版)については、本件での影響はございません。

■ 漏えいの対象となる一部お客様へのご案内と専用窓口の設置

本件により情報漏えいが確認されたお客様へは、本発表と同時に弊社より個別のご案内を実施しております。また、本件に関する専用のお問い合わせ窓口も設置しております。

■ 個人情報保護委員会、警察等への報告及び相談

個人情報保護委員会へ速報の提出及び、警察署へ第一報と被害相談を完了し、被害の拡大防止に向けた連携を随時行っております。

5.今後の対応について

外部セキュリティ専門家の協力を得ながら、再発防止策の検討を含めたさらなるセキュリティ強化に取り組んでおり、併せて本件に関する調査を継続し、新たにご報告すべき内容が判明した場合は、速やかにご報告いたします。
また、本件の影響を最小限にすべく、関係機関と連携しながら率先して対応を行ってまいります。

6.お客さまへの対応について

本日6月15日、対象となるお客さまには弊社よりお詫びとお知らせに関する電子メールを送付し、弊社企業情報サイトおよびSNKRDUNK公式サイト上にも同内容を掲載しております。
また、本件により情報漏えいの可能性があるお客様へは、本件経緯・状況のご説明及び、専用のお問い合わせ窓口へのご案内をしております。
なお、ご不安な場合にはパスワードを変更いただきますようお願い申し上げます。
お客さま及び関係者の皆さまに多大なるご迷惑とご心配をおかけしますことを心よりお詫び申し上げます。

■ 対象確認ページ・ 専用お問い合わせ窓口

https://snkrdunk.com/accounts/information
ログイン後、上記のURLから本件の対象か否かご確認いただけます。
対象か否かご確認後、専用お問合せ窓口へのご案内が表示されます。

改めまして、本件につきまして、多大なるご迷惑とご心配をおかけしますことを、心より深くお詫び申し上げます。


公開日時(2022年6月15日 10:00)

投稿日時(2022年8月23日 19:00)