【重要】不正アクセスによる個人情報流出の可能性に関するお詫びとご報告

2022年5月16日
株式会社ほくせん



不正アクセスによる個人情報流出の可能性に関するお詫びとご報告


2022 年 1 月 17 日及び 2022 年 2 月 14 日付「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」にて弊社ホームページ上の「ほくせんWebサービス」サイトに対して、外部からの不正アクセス発生と「ほくせんWebサービス」の停止をお知らせしておりましたが、この度、第三者調査機関による調査が終了し、報告書を受領。併せて、社内調査及び再発防止策の策定も終了しましたので、事態の概要及び再発防止策についてご報告申し上げます。
なお、個人情報が流出した可能性のあるお客様には、本日より、個別に電子メール又は書状にてお詫びとご報告を申し上げます。
お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたことを、深くお詫び申し上げます。


1.本件の経緯
2022 年 1 月 17 日、弊社ホームページ上の「ほくせんWebサービス」サイトに、SQLインジェクションによる外部からの不正アクセスが確認されたため、Web サーバ内の個人情報の流出被害の防止を最優先と判断し、直ちに「ほくせんWebサービス」サイトを停止しました。

※SQLインジェクションとは、不正アクセスを行う者が、弊社ホームページに対しシステムの脆弱性をついて不当な命令文(SQL)を作成し「注入(injection)」されることによって、 ホームページのシステムに保管されているデータを表示させてしまう攻撃の手法です。不当な命令文とは「~のデータを表示せよ」といった内容の命令文となります。

2022 年 1 月 18 日
社内に本件に関する緊急対策本部を設置し、弊社及び弊社システム委託先による一次調査 を実施。

2022 年 1 月 20 日
本件について関係省庁・関係団体に第一報を報告。また、北海道警察本部生活安全部サイバー犯罪対策課に本件の対応について相談。

2022 年 1 月 28 日
第三者調査機関に本件の調査を依頼。

2022 年 2 月 2 日
北海道警察本部生活安全部サイバー犯罪対策課に本件の被害を届け出。

2022 年 4 月 4 日
第三者調査機関による調査が完了。SQLインジェクションによりWebサーバ内のお客様の個人情報が閲覧され、社外に流出した可能性があることを確認。なお、Webサーバ以外へのアクセス、マルウェアの設置等によるWebサーバ内の情報への攻撃は確認されず。

2022 年 5 月 11 日
監督官庁(経済産業省、北海道石狩振興局)をはじめ、弊社が加入する認定個人情報保護団体(一般財団法人日本情報経済社会推進協会、一般社団法人日本クレジット協会、日本貸金業協会)に本件について最終報告。

2.流出した可能性のある個人情報
流出した可能性のある個人情報の項目は以下のとおりです。なお、クレジットカード番号、 有効期限、セキュリティコードの流出はございません。
(1)流出した可能性のある件数 44,559 件 (加盟店様の情報615件含む)
(2)流出した可能性のある情報の内訳
① メールアドレス:5,059 件
② ログイン ID、パスワード、メールアドレス:39,310 件(加盟店様の情報 615 件含む)
③ ログイン ID、パスワード、メールアドレス、暗証番号、氏名、住所、生年月日、性別、電話番号、口座情報:190 件

3.お客様へのお願い
お客様におかれましては大変お手数をおかけいたしますが、以下のご対応をいただきますようお願い申し上げます。
(1)他のWebサイトやインターネットサービス等でほくせんWebサービスと同一のメールアドレスをご利用の場合は、安全のため、ID・パスワードをご変更いただきますようお願いいたします。
(2)不審と思われるメールを受け取った場合は、直ちに消去されるとともに、メールに添付されているファイルの開封や、記載されているアドレスには、絶対にアクセスしないようにお願いいたします。
なお、なりすましメール、迷惑メール、クレジットカード会社等を装ったフィッシングメールの対策につきましては以下のサイトをご参照ください。

個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/impersonation/

迷惑メール相談センター
https://www.dekyo.or.jp/soudan/

フィッシング対策協議会
https://www.antiphishing.jp/

4.公表が遅れた経緯について
2022 年 1 月 17 日の流出懸念のご案内から今回のご報告に至るまでに、時間を要しましたことを深くお詫び申し上げます。本来であれば流出が懸念された時点でお客様にご連絡し、 注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様に充分な対応ができず、さらにご迷惑をおかけすること が懸念されたため、お客様へのご迷惑を最小限に留める対応準備を整えてからの告知が不可欠であると判断し、第三者調査機関による原因の確定、及びお客様のご質問等に必要十分に対応できるカスタマーサポート体制の構築完了を経て、本日の発表に至ったものでございます。
公表までにお時間をいただきましたことを、重ねてお詫び申し上げます。

5.再発防止策について
弊社はこの度の事態を厳粛に受け止め、第三者調査機関の調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。なお、情報流出の原因となったSQLインジェクションによる攻撃につきましては、既に対策を講じております。

6.「ほくせん Web サービス」の再開について
弊社ホームページ5月12日付の【ほくせんWebサービス再開のお知らせ】にてご案内申し上げておりますが、5月17日(火)より再開予定です。

7.本件に関するお問い合わせ窓口
お電話によるお問い合わせ 0120-318-323 (フリーダイヤル)
受付時間:10:00~18:00 (土日祝日含む)



以上