平成27年7月23日

お客様各位

クーコム株式会社       
代表取締役会長 西 村 惠 治

不正アクセスによるお客様情報不正取得の可能性に関するお知らせとお詫び

この度、弊社が運営するレンタカー予約サイト(「https://www2.tocoo.jp/」のドメインを含むサイト。以下「レンタカーサイト」といいます。)を管理するウェブサーバー(以下「対象サーバー」といいます。)に対して、外部からの不正アクセスがあり、レンタカーサイトでクレジットカードをご利用いただいたお客様のクレジットカード情報等を、不正に取得された可能性があることが判明いたしました(以下「本件不正アクセス」といいます。)。
本件に関して、調査の結果現時点までに判明している本件不正アクセスの概要と弊社の対応について、下記のとおりご報告いたしますとともに、お客様に多大なるご迷惑とご心配をおかけいたしましたこと、こころよりお詫び申し上げます。

1 本件不正アクセスの概要

(1) 経緯

本年6月29日、弊社の契約先であるクレジットカード会社から、クレジットカード情報が不正取得された懸念がある旨の連絡がありましたので、直ちにクレジットカード会社認定の第三者機関であるPayment Card Forensics株式会社(以下「調査会社」といいます。)に調査を依頼して事実関係の確認に努めるとともに、被害対策本部を立ち上げ、被害拡大の防止に努めてまいりました。

(2) 不正取得された可能性のあるお客様情報

平成25年7月26日から平成27年7月2日までの間に、レンタカーサイトにおいて、レンタカーを予約してクレジットカード情報を入力されたお客様の予約情報(氏名、電子メールアドレス、電話番号及びクレジットカード情報。)及びレンタカー予約と同時に会員種別のアップグレードをされたお客様の登録情報(同上。以下、予約情報と併せて「お客様情報」といいます。)が、不正アクセスをした者に取得された可能性があり、これにより取得された可能性のあるお客様情報は、最大で21,732件となるとの報告を受けております。なお、弊社は、後記5のとおり、レンタカーサイトとは別のサーバーで管理されている弊社の他のサイトについても、本件不正アクセスと同様の事象が発生していないか引き続き調査を行っております。

2 お客様への対応

(1) 電子メールによるご案内

お客様情報を不正取得された可能性のあるお客様へは、本日、弊社にご登録いただいているメールアドレス宛にメールを配信し、本件についてご報告するとともに、お心当たりのないクレジットカードの利用がないかご注意いただき、そのような利用があった場合には、クレジットカード裏面に記載のカード発行会社にお問い合わせいただくようご案内いたしました。なお、送信エラー等によりメールでご連絡することのできなかったお客様につきましては、本サイトでのご報告をもってご案内に代えさせていただきます。

(2) カード再発行手数料

クレジットカードの再発行手数料につきましては、本件不正アクセスによりお客様情報を不正取得された対象者様であることの確認がなされた場合、対象者様に経済的なご負担がかからない形で処理させていただくよう、カード会社に依頼しております。
なお、クレジットカードの再発行手続は、個人情報の取り扱い上の制限があるため、お客様ご自身からのお申し出がなければできません。大変お手数おかけいたしますが、お客様におかれまして、ご加入のクレジットカード会社へご相談くださいますようお願い申し上げます。

(3) あらためてのお願い

お客様におかれましては、お手数をお掛けし恐縮ではございますが、クレジットカードのご利用明細にお心当たりのないクレジットカードの利用がないかご注意いただき、そのような利用があった場合には、クレジットカード裏面に記載のカード発行会社にお問い合わせいただきますようお願い申し上げます。

3 実施済みの対応策

(1) 侵入経路の遮断等

平成27年7月2日、調査会社からの現状保全依頼の解除後速やかに、対象サーバーに設置されたバックドアプログラムを削除するなど等進入経路を遮断するとともに、対象サーバーへのアクセス許可設定及びアクセス制御変更の措置をとりました。

(2) お客様情報の削除

平成27年7月3日、調査会社からの現状保全依頼の解除後速やかに、対象サーバー内に不正に蓄積されたクレジットカード情報を削除する措置をとりました。

(3) クレジットカードの不正利用モニタリング強化

平成27年7月3日、お客様に金銭的被害が生じないよう、不正取得された可能性があるクレジットカード番号の情報を弊社の契約先であるクレジットカード会社と共有し、不正利用モニタリングの強化を依頼しております。その後、当該クレジットカード会社からその提携先のクレジットカード会社にご連絡いただいており、各クレジットカード会社において、強化された不正利用モニタリングが実施されております。

(4) クレジットカード決済の停止とリンク型決済への移行

平成27年7月3日、レンタカーサイトにおけるクレジットカード決済を停止し、その後、クレジットカード情報を当社のサーバーにおいて一切取り扱うことのないリンク型の決済方法への改修を完了しており、クレジットカード会社の承認を待ってクレジットカード決済を再開する予定です。

(5) システム及びネットワークのセキュリティ強化

調査会社から指摘のあった事項に順次対応し、セキュリティの強化を図っております。

(6) 所轄警察署への相談および所轄官庁への報告

平成27年7月9日、所轄の渋谷警察署へ第一報を入れました。
平成27年7月9日、経済産業省へ第一報を入れました。
平成27年7月23日、所轄の渋谷警察署へ被害状況を届け出ました。

4 現在の状況について

上記3の対応策実施以降、対象サーバーへの不正アクセスの痕跡は認められておりません。

5 今後計画している対応策

弊社としましては、お客様に安心して当社の提供するサービスをご利用いただくため、レンタカーサイトのみならず、これとは別サーバーで管理されている弊社サイトについても引き続き調査を実施しており、その結果もふまえつつ、次の各事項を含む対応策を実施する予定です。

  1. (1) システム及びネットワークのセキュリティ強化
  2. (2) システム管理体制の強化
  3. (3) 社内における定期的なモニタリングの実施
  4. (4) 外部機関による定期的なモニタリングの実施
  5. (5) 弊社サイトのカード決済をすべてリンク式に変更
  6. (6) 不正アクセス検知のための巡回ソフトの導入
  7. (7) 所轄警察署および所轄官庁への継続報告等

6 社内処分

当社は、社会的責任の重大さ及び、お客様ならびに関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、経営陣の責任を明確にするため、以下の社内処分を決定しました。

代表取締役会長 西村惠治 3ヵ月間の月額報酬20%減俸
代表取締役社長 牛田隆夫 3ヵ月間の月額報酬20%減俸

7 今後のご報告

お客様情報の不正取得に関し、新たにご報告すべき事実が判明した際には、本ホームページにて速やかにご報告いたします。

不正アクセスによるお客様情報流出について

本件に関するお問い合わせ窓口
電 話 03-4405-8455
    受付時間:平日の午前10時から午後6時まで(日本時間)
e-mail inquiry@coo.ne.jp

以 上