平成24年3月22日付「不正アクセスによるお客様情報流出の可能性に関するお知らせ」でご報告いたしました当社サーバへの不正アクセスに係る事案では、お客様をはじめとする皆様に多大なるご迷惑およびご心配をお掛けする事態に至りましたことを深くお詫び申し上げます。
このたび当社および外部調査機関による調査が終了しましたので、下記のとおりご報告いたします(不正アクセスへのお客様への対応および再発防止策は継続して実施いたしますが、本不正アクセスに関する調査は、下記の調査結果をもって最終報告といたします)。
株式会社ベクター
代表取締役社長 梶並 伸博
-
2012年3月21日(水)02:30ごろ、当社一部サーバに異常が発生し、当社システム担当者が対応したところ、3月19日(月)20:55ごろから3月21日(水)00:01ごろまでにかけて、当社サーバに対して4回の不正アクセスと思われる痕跡があることを発見し、お客様情報を保持するサーバに対しても不正アクセスしたと思われる痕跡があったため、ただちに調査を開始いたしました。
-
本調査は、不正アクセスの嫌疑の報告を受け、ただちに社内で組織化した事故対策委員会を中心に、外部調査機関2社(株式会社ラック、ベライゾンジャパン合同会社)の協力を仰ぎ、実施いたしました。
-
調査の結果、以下のことが判明いたしました。
- (1) 窃取された個人情報
- 攻撃者が当社システムに侵入、決済システムのプログラムを改竄したことが確認されました。当該改竄プログラム経由で、2012年3月20日から2012年3月22日にかけて、463件のクレジットカード情報が窃取されたと判断することが妥当と考えます。窃取されたクレジットカード情報は、いずれも当社のパソコン向けオンラインゲームを利用された方のもので、当社のソフト販売をご利用の方、あるいはモバイルゲームをご利用の方のクレジットカード情報は含まれておりません。
窃取されたクレジットカード情報項目は次のとおりです。
- クレジットカード番号
- セキュリティコード
- カード名義
- 有効期限
窃取されたクレジットカード保有者の方には、当社よりクレジットカードが窃取されたことを7月19日にご連絡いたしました。
また同時に当該クレジットカードのモニタリングをクレジットカード会社各社に依頼しております。
- (2) その他
- 当社が運営するPC向けオンラインゲームポータル GAMESPACE 24のIDとパスワードの一部に流出の嫌疑があることが判明しました。実際の被害発生は確認されませんでしたが、安全のため2012年6月にGAMESPACE 24のID、パスワードシステムを改定し、あわせて全ユーザのパスワードの変更を実施いたしました。また、より安全なサービスの提供を実現するために、2012年7月よりワンタイムパスワードシステムも導入いたしました(PC向け新規オンラインゲームタイトルより順次対応いたします)。
以上が、調査の結果判明した窃取された個人情報、および流出の嫌疑のある個人情報のすべてです。
当社では、不正アクセスの発生直後の2012年3月22日に、不正アクセスされたサーバに最大で26万1,161件の個人情報が蓄積されており、その一部にはクレジットカードの情報も含まれていたため、被害の最大数を26万1,161件と発表いたしましたが、調査の結果、上記以外の窃取および流出の事実はないものと判断しております。
-
当社は、セキュリティ強化に関して専門会社のアドバイスを受けながら対策を実施しております。これまでに実施しました対策は次のとおりです。
- (1) アクセス制限の強化
- ファイアウォールの設定強化ならびに業務別ネットワークセグメント間のアクセス制限強化を実施しました。
- (2) 個人情報の削減と暗号化
- 社内業務用として保持すべき個人情報を大幅に削減するとともに、保持する重要情報に関しては暗号化を実施いたしました。
- (3) 専用機器の設置ならびにモニタリングの開始
- 通信を監視・制限する専用機器を設置し、社内外からの通信を専門会社による常時監視体制下に置くことで、異常アクセスの検知・遮断を可能にいたしました。
- (4) システムの再構築
- マルウェアが発見されたサーバに関して、ハードディスクの入れ替えと、システムの再インストールを実施しました。
- (5) ID、パスワードシステムの強化
- 当社のオンラインゲームポータル GAMESPACE 24のID、パスワードシステムを改定しました。またワンタイムパスワードシステム※1も導入いたしました。
- ※1 ワンタイムパスワードとは:認証のために1回しか使えない「使い捨てパスワード」のことです。トークンと呼ばれるワンタイムパスワード生成器が、ワンタイムパスワードを作り出します。トークンが生成するワンタイムパスワードは1分程度の短時間で変化するため、万一盗聴されたとしても、有効な時間は極めて短く、繰り返し使うことができません。このため高い安全性が保持できます。
- (6) PCIDSSの取得
- クレジットカード情報・取引情報の安全を守るために、国際ペイメントブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準であるPCIDSSを2012年7月13日に取得しました。
- (7) クレジットカード決済の再開およびクレジットカード情報の非保持
- クレジットカード会社の承認を受け、2012年7月19日よりクレジットカード決済を順次再開いたしております。また再開にあたって、決済専門会社を利用することにより、当社自身ではクレジットカード情報を保持しないようシステムを変更いたしました。
-
今後計画しております主な対策は次のとおりです。
- (1) ネットワーク構成全体の見直しによる堅牢なセキュリティの実現
- (2) アクセス権限のさらなる厳格化による社内セキュリティレベルの向上
- (3) サーバおよびクライアントPCの設置・運用・廃棄管理の厳格化
-
今回の件に関し、お客様ならびに関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、現経営陣の責任を明確にするため、以下の社内処分を行います。
- 代表取締役社長 梶並 伸博 3ヵ月間の月額報酬10%減額
- 取締役システム部長 赤塚 正 3ヵ月間の月額報酬10%減額
-
当社では、前期(平成24年3月期)において、本件に起因して平成25年3月期以降に発生する対応ならびに再発防止等に要する費用として110,000千円を見込み、同額を情報セキュリティ対策引当金として計上いたしました。
これに対し、平成25年第1四半期における本件に起因する費用は16,295千円発生しており、情報セキュリティ対策引当金から同額を取崩しております。
当該費用は、第2四半期以降も発生することが予想されております。
-
本最終報告の前に行ったリリースおよびホームページで継続していた最新状況のご報告の直前の内容は以下の通りです。
- リリース
- 2012.03.21 弊社サーバへの不正アクセスに関するお知らせ
- 2012.03.22 不正アクセスによるお客様情報流出の可能性に関するお知らせ
- 2012.04.25 不正アクセスに関する最新状況のご報告
- 2012.07.24 当社サーバへの不正アクセスに対する調査結果(最終報告)
- ホームページ
- 2012.06.12 不正アクセスに関する最新状況のご報告
|
