ウェブシャークの顧客情報流出はなにが問題なのか

2012年11月1日

【追記有り】ウェブシャークの社長からメールをいただき、詳細が判明。わたし、かなり誤解をしていました。というか、メール、わかりにくすぎ!! もっとわかりやすく説明してくれたらこんな大騒ぎにならなかったのに・・・ということで最後までお読みください

まずはウェブシャークの代表の木村さんのコメントを掲載

(株)ウェブシャーク代表取締役の木村です。私から直接永江さんにメールをお送りさせていただいた事をきっかけに数十通にも及ぶメールのやり取りをいたしました。その中で無事、永江さんが抱いていた誤解を解くことができました。「電脳卸」という商品アフィリエイトASPをきっかけに創業して12年。おかげさまで弊社アフィリエイトと連携しているショッピングモール「ストアミックス(ドクタートニー含む)」のユニーク購入者数は100万人を超えております。そこに中国からの不正アクセス事件が発生し、一部のお客様の個人情報(クレジットカード情報)が流出してしまいました。

実は弊社がお客様に事実を発表する前に経済産業省が各種メディアに発表してしまい、各種ニュースサイトに掲載されてしまいました。私としましては運営側からの発表よりも先に外部のニュースサイトで発表されたのはお客様に対して非常に不義理だと考え、慌てて弊社から全てのお客様に対してメールを送信いたしました。しかしこれが大きな間違いでした。

事実を全てのお客様にお伝えしたかっただけなのですが、今回の個人情報流出と全く関係の無いお客様に対してもメールをお送りした為、メールの届いたお客様の多くが「自分の情報が流出した!」と勘違いされてしまいました。永江さんもその中のお一人だった、というのが今回の真相となります。弊社は名簿業者からリストを購入したり、数千万件にスパムメールを送信したりということは一切ございませんので、どうぞ誤解なきようよろしくお願いいたします。弊社はそのようなことはいたしません。

今回の経緯は、先日リリースした不要品売買のフリマサイト「GarageSale(ガレージセール)」で現在、他社との提携を模索しており、その際にGoogleで「ウェブシャーク」と検索した際、2番目にこのページが表示されておりましたので、永江さんに私から直接依頼をし、このような文章を書かせていただきました。

最後に、永江さんにはこのように貴重なスペースをお貸しいただき、そしてご理解とご協力をいただけたことに深く感謝いたします。また機会がございましたら、次は弊社の良い所などを記事にしていただけたら嬉しいです(笑)。大変ご迷惑をおかけいたしました。ありがとうございました。

株式会社ウェブシャーク
代表取締役 木村誠司

————–  ここから本文  ——————-

昨晩の日記の続きです。

昨日報道されたように

アフィリエイト事業やショッピングサイトを展開するウェブシャークに不正アクセスがあり、顧客情報が外部へ流出したことがわかった。経済産業省では、個人情報保護法に基づき、詳細を報告するよう同社へ求めている。

これまで任意で事情聴取を行ってきた同省によれば、現時点で顧客の氏名やクレジットカード情報など10万件弱の個人情報が、不正アクセスにより外部へ流出したとの説明を同社より受けたという。

同社に対してクレジットカード会社から不正利用に関する指摘があり問題が発覚、同社が調査したところ不正アクセスが判明した。現時点で詳しい被害額はわかっていないが、実際の被害も発生している。

同省では、10月23日より任意で事情聴取を行ってきたが、事故の規模やクレジットカードが含まれ、被害も発生している状況を踏まえ、10月30日に個人情報保護法に基づいて今回の事故に関する報告の徴収を決定した。

具体的には、流出の経緯、原因など詳細な事実関係をはじめ、流出発生前の安全管理状況、発生時の対応、今後の再発防止策などについて報告を提出するよう求めている。

という事件があったわけです。で、個人情報が外部に漏れて、経済産業省から行政指導をくらったらしいのですが、そのお詫びがわたしにも来ました。

お客様各位

平素はストアミックス・ドクタートニーの格別のご愛顧を頂きありがとうございます。突然のご連絡を差し上げまして大変申し訳ございません。本メールは弊社ストアミックス・ドクタートニーをご利用頂いた方全員に送信をさせて頂いております。この度、弊社サーバー・ネットワークに対して、外部から不正アクセスが行われたという痕跡が発見されたと指摘され、専門の調査会社による詳細な調査を進めてまいりました。同調査の結果、過去のお客様の注文の一部におきまして、クレジットカード情報の流出の可能性があったとの指摘を受けました。

弊社では、この度の事象を重く受け止め、カード利用されたお客様に対する不正取引被害防止を図るべく、現在、事象収束に向けて鋭意作業を行なっております。弊社ショッピングサイトでクレジット決済をご利用された方はカード不正利用の可能性があります。お手数ながらカードご利用明細の確認、ご利用されているカード会社へのお問い合わせをお願い申し上げます。

●不正アクセスによる情報漏えいの内容

調査の結果、不正アクセスによって窃取された可能性のある情報は、弊社ストアミックス・ドクタートニーウェブサーバーのログ内にありました。 このログはペイメント代行会社との通信ログとして残していましたが、この情報に不正アクセスがありました。調査した結果98件のカード情報が窃取された可能性のある痕跡を発見いたしました。窃取された情報とは、オンラインショップの受注データに含まれるクレジットカード情報(番号、有効期限、カード名義)であることが分かりました。

クレジットカード情報(会員番号、有効期限、カード名義)アクセスログで確認された数:98件
ウェブサーバの通信ログに存在していた数:94,243件
※こちらに関しては、窃取可能性のある件数になります。

●不正アクセスの日時・攻撃手法
日時:2011年11月14日~11月30日にかけて断続的に。
攻撃元:海外(中国のIPアドレス)
攻撃手法:バックドアによる不正侵入
(何らかの方法でサーバに不正プログラムをアップロードし、サーバの情報を不正取得・操作する攻撃手法)
・弊社データベースサーバー内のデータベースに対する
「SQLインジェクション」(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)

●弊社として行なっている対策・検討している対策・クレジットカード情報をログに一切残さない仕組みを構築いたしました。この仕組は現在すでに稼働いたしております。
・プログラムの見直しを行いました。
SQLインジェクション・XSS(クロスサイトスクリプティング)の防衛のために、アクセスする引数の内容を精査し、関係のないものが入っていた場合にエラーや無効化する処理を導入しました。・アンチウィルスプログラム導入を行いました。プログラム上にバックドアやウィルスをアップロードされた場合に、検出するものです。
・OSのバージョンアップの定期実行を実施するように体制を整えます。OSの脆弱性があった場合速やかに検証・導入を行い、脆弱性をなくすよう努めます。

この度はお客様に大変なご迷惑とご心配をお掛け致しまして誠に申し訳ございません。今後このようなことの無いよう鋭意努力いたしてまいりたいと存じます。今後共引き続きストアミックス・ドクタートニーへのご愛顧よろしくお願い申し上げます。

■ご利用明細の確認及びお使いのカード情報についてのご質問、ご相談などご利用頂きましたクレジットカードの裏面などに記載されているサポートデスク及びお問い合わせ窓口までご連絡頂きますようお願い申し上げます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□発行:株式会社ウェブシャーク
□住所:〒541-0053 大阪市中央区本町3丁目1-6 羽州本町ビル4F
□Tel : 06-6264-2816(代表)(10:00~18:00)

お問い合わせ:info@store-mix.com
□ストアミックス   :http://www.store-mix.com/
□ドクタートニー   :http://www.store-mix.com/tony/

 

このお詫びメールは大量に送られており、Facebookの私の友人やフィード購読者にも多数いるくらい。しかしわたしを含め、ほとんどすべての人が「買った覚えも登録した覚えも無い」のです。

知恵袋でも投稿がありまして、みんな「買った覚えが無いのに住所まで正確に登録されている」「これはなんでだ」と不安に思ってるようです。→こちら

わたしも「買った覚えがない」と問い合わせしたところ、上記のメールのショッピングサイトとは違う別のショップで2006年に買った内容を送ってきました。ここで・・なぜ、別のショップで買ったデータをウェブシャークのショッピングサイトが所有しているのか?? 疑問に思った。

いったいこの会社はなんなのか。会社概要を見ますと

資本金 81,250,000円
設立 2002年2月1日
主要株主
  • GMO VenturePartners株式会社
  • 株式会社サイバーエージェント
  • 株式会社サイバーエージェント・インベストメント
  • 創業起業支援<志>投資事業有限責任組合
  • 創業者グループ

(50音順)

とありまして、GMOとサイバーの資本が入ってます。

考えてみると、問い合わせした時に私の買い物履歴で相手が出してきた内容は、昔の記憶を辿ると全く別の店から買ったものだった。ちゃっかりダイエットココミンという店で、当時メロンとスイカのシトロリンという成分のサプリを開発するプロジェクトがあり、「スイカ サプリ」「メロン サプリ」で検索して買い集めたうちのひとつだと思い出してきた。

これって重大な顧客情報の漏洩というか、譲り受けじゃ無いの????

経済産業省は把握しているのか、電話で担当者に確認したところ、折り返しいただきました。詳細は業者からの報告待ちになっているそうです。詳細を伝えたところ、担当者に詳しく報告するということでした。業者は「モールと言っています」ということだったが、当の業者のメールには「モール」という言葉は一切無く、「ショッピングサイト」になっている。同様の問い合わせもあるため、顧客には調査の上きちんと説明するように指導するとのことでした。

【追記】このあと、ウェブシャークの社長からメールをいただき、詳細が判明。わたし、かなり誤解をしていました。というか、メール、わかりにくすぎ!! もっとわかりやすく説明してくれたらこんな大騒ぎにならなかったのに・・・

1 ドクタートニーというのは、実はショッピングモールで、わたしの買った「ちゃっかりダイエットココミン」というのは出店者だった(いまは退店)

※大量にメールが出るはずだわ。よってデータの譲り渡しでは無かった。楽天とかと比較して知名度が低いモールでしかも5年前・・・最初から「当モールの出店企業のお客様全員にお送りしています」って書いてくれればよかったのに。ショッピングサイトじゃわからない。ネットで買った覚えがないといってる方達はみんな同じだろう。

2 最初のメールは、すべての購入履歴がある全員に送られていて、漏れた人に送られているのではない

※メールが長すぎて、ぱっと見で自分のが漏れたと思ってしまった

3 実はわたしの情報は流出していなかった

問い合わせのメールの返答がかなりわかりづらかった。「こちらのご注文でご利用頂いたクレジットカードについて確認致しました所、アクセスログで確認された98件や窃取された可能性のある通信ログに存在していた94,243件には該当しませんでした。」というのでてっきりカードの情報は漏れてないけど、個人情報は漏れたと思っていたのだが、そうではないとの事。

だったら

「永江様の情報は今回流出しておりません。クレジットカードの情報も当然ながら流出しておりませんので、ご安心ください。」

と書いてくれればよかったのに・・。

緊急の時こそわかりやすいメールで誤解が無いようにしないといけないという教訓でした。わたしもいきなり血が上ってしまい、失礼しました。

 

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP