フレーバーライフ社は、アロマテラピーを通じてお客様に笑顔をお届けいたします。

HOME > 【重要 緊急のお知らせ】弊社提携外部サーバーへの不正侵入について

【重要なお知らせ】

弊社提携外部サーバーへの不正侵入について

2018年7月23日
株式会社フレーバーライフ社
代表取締役 興津 秀憲

 

 二回にわたりホームページ、メールにてお届けいたました弊社提携外部サーバー(以下、サーバーと
称します)への不正侵入について、現在までの判明事実及び進行状況について、お知らせさせていただ
きます。

なお、時間経過とともに判明した事実もあり、前二回と内容が異なる部分もございます。

 

調査、確認協力団体
株式会社リンク (サーバー運営管理会社)
株式会社ゼウス (カード決済代行会社)
みずほファクター株式会社 (カード決済代行会社)
警視庁サイバー犯罪対策課


データの状況及びお客様情報流出の可能性

1)サーバーへの不正侵入により、
・サーバー内のデータが、外部の第三者により読み書き可能な状態として流出した可能性が確認
されております
・流出後にサーバー内部に一部残存していたデータは、改ざんが確認されております
・不正侵入のアクセスログはすべて消去されており、侵入者の特定が困難な状態となっております

2)侵入者の意図が不明であり、個人情報の悪用が目的であるとは断定できませんが、状況から
検討した結果、お客様の情報は、外部の第三者による利用が可能であると結論いたしました。


2. 流出した可能性のある個人情報

お客様個人情報 11,156件
・氏名
・性別
・生年月日(任項の登録項目)
・住所
・電話番号
・メールアドレス
・パスワード
・利用履歴 
・お問い合わせなどお客様から受信したメール
(2018年6月13日から2018年6月27日までのメールアドレス、文面)


3. クレジットカード情報について 

クレジットカード情報の流出の可能性を調査しておりましたが、その結果、今回の流出はないと判明
いたしました。

弊社ではECサイト(ショッピングページ)上のクレジットカード利用につきましては、決済代行会社
2社を利用しております。

両社に対し状況確認をしたところ、カード決済情報はサーバー上に保存されていない事が判明いたし
ました。


4. 侵入の経緯について

1)侵入時期
不正侵入及びデータ流出が確認された後、サーバー運営管理会社と共同で調査いたしました。
6月27日(水)24時 外部より不正攻撃開始
その後、28日(木)早朝までにデータアクセス最高権限を獲得、サーバー停止
この間にデータの流出と改ざんが行われたものと推測されます。

2)侵入経路
問い合わせ等のお客様からの入力可能なコンテンツからと推測されます。

3)侵入後の状況
データアクセスの最高権限に侵入され、データの読み書きが可能な状態となり流出、その後サーバー
内の残存データも改ざん、不正侵入アクセスログの消去がなされております。


5. 二次被害防止策について

1)サーバーの接続停止
事態発生確認後被害拡大防止のため、当該サーバーの接続停止を行いました。
その後ハードディスクの入替及び安全性の確認を行い復旧、ホームページを稼働させております。

2)他のサーバー接続環境
別環境のサーバーで運用している弊社ホームページも、念のため外部からの接続は閲覧のみ可能とし、
現在もその環境を継続しております。


3)弊社内ネット環境
異なるシステムで作動させており、安全が確認されています。二回にわたるメール送信はこのシステム
にてお送りし、お問い合わせもこの環境でお受けしております。


6. 公的な報告について

1)個人情報保護委員会(内閣府の外局)
6月28日(木)に一次報告を行いました。
今後、調査の進行により詳細な報告を委員会に行ってまいります。

2)警察
7月1日(日)小金井警察署生活安全課に被害届を電話にて行いました。
同11日(水)警視庁サイバー犯罪対策課に状況報告を行い、残存データのハードディスクを提出
いたしました。

同課では解析セクションにて侵入の解析を行っております。
今後も連動し、調査・解明を行ってまいります。


7. お客様の個人情報に関する状況及び対応について

現在のところ、二次被害と思われる事由はお客様のみならず、関係企業、官公庁等を含め弊社に
ご連絡はいただいておりません。

引き続きお客様からの情報を中心に各方面からの収集に努め、必要な対策と対応を進めてまいります。

その中でお客様のご安心のための対応とお願いとなります。

1)安全対応
・パスワード変更
お客様の弊社に登録されているパスワードがWeb上の他のサイトのサービスと同一のパスワードである
場合、悪用される可能性がございます。

安全性の見地から、お手数ですが、他のサービスに登録されているパスワードのご変更をお勧め
いたします。


・不審メール
開封なさらないでください

2)個人情報の削除
現在弊社でお預かりのお客様の個人情報は他のWeb環境から独立したサーバー上にて保管されて
おります。

今後の弊社ご利用を差し控えたいとのご希望がある場合、弊社にて削除を行います。
ご希望がございましたらお知らせください。


8. 今後のシステム再構築にあたっての再発防止策等について

1)原因解明
警視庁サイバー犯罪対策課の解析を待ちつつ、危機管理コンサルティング会社及びサーバー運営
管理会社との連動による原因解明を行っております。


2)再発防止策
今回の不正侵入により、データベースを再構築する事となります。
再構築に当たり、
・システムの脆弱性検証、強化策実施
・データ種別ごとにサーバーを設置
等の不正侵入をより困難にし、不正侵入発生時も流出を防止するシステムの構築をサーバー運営
管理会社、危機管理コンサルティング会社、システム保護アセスメント会社等と連動し行います。


9. 当面のご注文方法について

あらためて一層のセキュリティを重視したホームページの開設を準備しております。
それまでの期間は、

FAX 0120-907-188(フリーダイヤル)24時間
電話 0120-907-187(フリーダイヤル)平日9:00より18:00まで

にてご注文をお受けさせていただきます

※当該サーバーを介さない弊社ホームページ(当サイト上)に商品カタログ、注文票を準備いたします。
また、9月上旬までにご注文とご入会に特化した仮ホームページの公開を予定しております。


10. 今後のお知らせ方法について

以上、現在までの状況をお知らせさせていただきました。
今後、情報流出に関する情報はホームページ上にてお知らせを更新させていただきます。

以上

本件お問い合わせ先

電 話  0120-907-187 フリーダイヤル 

【受付時間】
7月31日まで  平日 9:00 より 21:00まで  土日祝 9:00 より 18:00まで
8月1日より   平日のみ 9:00より18:00まで

メール  情報流出お問合せ専用アドレス
kinkyu@flavorlife.co.jp