平成27年9月18日
お客様各位
代表取締役会長 西 村 惠 治
不正アクセスに関する最終のご報告
弊社が運営するレンタカー予約サイト(「https://www2.tocoo.jp/」のドメインを含むサイト。以下「レンタカーサイト」といいます。)を管理するウェブサーバー(以下「対象サーバー」といいます。)に対して、外部からの不正アクセスがあり、レンタカーサイトでクレジットカードをご利用いただいたお客様のクレジットカード情報等を、不正に取得された可能性が判明したことから(以下「本件不正アクセス」といいます。)、平成27年7月23日時点までに判明した本件不正アクセスの概要と弊社の対応を、同日付で本ホームページにおいてご報告し、その後もPayment Card Forensics株式会社(以下「調査会社」といいます。)に依頼して、当社サーバーに対する不正アクセスの有無を継続調査してまいりましたが、最終結果を受領しましたので、既にご報告済みの事項に加えて、下記のとおり最終のご報告をさせていただきます。
この度は、お客様に多大なるご迷惑とご心配をおかけいたしましたこと、あらためてお詫び申し上げます。
記
1 継続調査により判明した不正アクセスの概要
(1) 経緯
本年6月29日、弊社の契約先であるクレジットカード会社から、クレジットカード情報が不正取得された懸念がある旨の連絡がありましたので、直ちにクレ ジットカード会社認定の第三者機関であるPayment Card Forensics株式会社(以下「調査会社」といいます。)に調査を依頼して事実関係の確認に努めるとともに、被害対策本部を立ち上げ、被害拡大の防止 に努めてまいりました。平成27年7月23日に最初の報告をさせていただき、その後も調査会社に依頼して、当社サーバーに対する不正アクセスの有無を継続調査してまいりました。
(2) 継続調査により判明した不正取得された可能性のあるお客様情報
平成25年7月26日から平成27年7月2日までの間に、レンタカーサイトにおいて、レンタカーを予約してクレジットカード情報を入力されたお客様の予約情報(氏名、電子メールアドレス、電話番号及びクレジットカード情報。以下同じ。)、平成27年3月20日から平成27年7月17日までの間に、LCCツアーサイトにおいて、ツアーを予約してクレジットカード情報を入力されたお客様の予約情報及び平成24年3月1日から平成24年9月30日までの間に、ウォーターサーバーサイトにおいて、ウォーターサーバーを申込んでクレジットカード情報を入力されたお客様の予約情報が、不正アクセスをした者に取得された可能性があり、これにより取得された可能性のあるお客様情報は、最大で24,308件となるとの報告を受けました。
2 お客様への対応
(1) 電子メールによるご案内
お客様情報を不正取得された可能性のあるお客様へは、本日、弊社にご登録いただいているメールアドレス宛にメールを配信し、本件についてご報告するとともに、お心当たりのないクレジットカードの利用がないかご注意いただき、そのような利用があった場合には、クレジットカード裏面に記載のカード発行会社にお問い合わせいただくようご案内いたしました。なお、送信エラー等によりメールでご連絡することのできなかったお客様につきましては、本サイトでのご報告をもってご案内に代えさせていただきます。
(2) カード再発行手数料
クレジットカードの再発行手数料につきましては、継続調査で判明した不正アクセスによりお客様情報を不正取得された対象者様であることの確認がなされた場合、対象者様に経済的なご負担がかからない形で処理させていただくよう、カード会社に依頼しております。
なお、クレジットカードの再発行手続は、個人情報の取り扱い上の制限があるため、お客様ご自身からのお申し出がなければできません。大変お手数おかけいたしますが、お客様におかれまして、ご加入のクレジットカード会社へご相談くださいますようお願い申し上げます。
(3) あらためてのお願い
お客様におかれましては、お手数をお掛けし恐縮ではございますが、クレジットカードのご利用明細にお心当たりのないクレジットカードの利用がないかご注意いただき、そのような利用があった場合には、クレジットカード裏面に記載のカード発行会社にお問い合わせいただきますようお願い申し上げます。
3 実施済みの対応策
平成27年7月23日にご報告したものに加えて実施した対応策はつぎのとおりです。
(1) 侵入経路の遮断等
平成27年7月2日、調査会社からの現状保全依頼の解除後速やかに、対象サーバーに設置されたバックドアプログラムを削除するなど等進入経路を遮断するとともに、対象サーバーへのアクセス許可設定及びアクセス制御変更の措置をとりました。
(2) お客様情報の削除
平成27年7月3日、調査会社からの現状保全依頼の解除後速やかに、対象サーバー内に不正に蓄積されたクレジットカード情報を削除する措置をとりました。
(3) クレジットカードの不正利用モニタリング強化
平成27年7月3日、お客様に金銭的被害が生じないよう、不正取得された可能性があるクレジットカード番号の情報を弊社の契約先であるクレジットカード会社と共有し、不正利用モニタリングの強化を依頼しております。その後、当該クレジットカード会社からその提携先のクレジットカード会社にご連絡いただいており、各クレジットカード会社において、強化された不正利用モニタリングが実施されております。
(4) クレジットカード決済の停止とリンク型決済への移行
平成27年7月3日、レンタカーサイトにおけるクレジットカード決済を停止し、その後、クレジットカード情報を当社のサーバーにおいて一切取り扱うことのないリンク型の決済方法への改修を完了しており、クレジットカード会社の承認を待って一部クレジットカード決済を再開しました。
(5) システム及びネットワークのセキュリティ強化
調査会社から指摘のあった事項に順次対応し、セキュリティの強化を図っております。平成27年7月29日まで、クロスサイトスクリプティング対策及びSQLインジェクション対策を実施しました。
(6) 所轄警察署への相談および所轄官庁への報告
平成27年7月9日、所轄の渋谷警察署へ第一報を入れました。
平成27年7月9日、経済産業省へ第一報を入れました。
平成27年7月23日、所轄の渋谷警察署へ被害状況を届け出ました。
4 現在の状況について
平成27年7月23日にご報告した対応策及び上記3の対応策実施以降、当社サーバーへの不正アクセスの痕跡は認められておりません。
5 今後計画している対応策
平成27年7月23日にご報告しましたとおり、お客様に安心して当社の提供するサービスをご利用いただくため、次の各事項を含む対応策を実施する予定です。
- (1) システム及びネットワークのセキュリティ強化
- (2) システム管理体制の強化
- (3) 社内における定期的なモニタリングの実施
- (4) 外部機関による定期的なモニタリングの実施
- (5) 弊社サイトのカード決済を、不正アクセス対象箇所以外もすべてリンク式に変更
- (6) 不正アクセス検知のための巡回ソフトの導入
- (7) 所轄警察署および所轄官庁への継続報告等
6 社内処分
当社は、社会的責任の重大さ及び、お客様ならびに関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、経営陣の責任を明確にするため、以下の社内処分を決定しました。
代表取締役会長 | 西村惠治 | 3ヵ月間の月額報酬20%減俸 |
---|---|---|
代表取締役社長 | 牛田隆夫 | 3ヵ月間の月額報酬20%減俸 |
不正アクセスによるお客様情報流出について
-
- 平成27年09月18日
- 不正アクセスに関する最終のご報告
-
- 平成27年07月23日
- 不正アクセスによるお客様情報不正取得の可能性に関するお知らせとお詫び
以 上