ホビボックスからメールが届いた
https://www.clubhobi.net/index.html
CLUBHOBiで情報流出があったらしい。
_________________________________________________________
■経緯
_________________________________________________________
▼10月4日(火)
・9:30
弊社通信販売サイト「CLUB HOBi」運用サーバー(以後、当該サーバーと略)を監視する
システム情報から異常に気付き、原因調査を開始
・10:00
当該サーバーが SQLインジェクション による攻撃を受けていることが判明
「CLUB HOBi」をメンテナンス表示にて一時閉鎖処理を行なう
・10:30
個人情報の流出が起きていないかを代替環境で再現検証の開始
※アクセスログから攻撃者の行動記録を再現
当該サーバーにおいては、攻撃対象箇所への SQLインジェクション対策を実施
・11:00
再現検証の途中結果を確認したところ、当該サーバーで情報が漏えいしていたことを確認
当該サーバーについて、実際に閲覧された可能性のある個人情報と件数の調査を開始
▼10月5日(水)
調査の結果、情報漏えいの規模が明らかとなったため、以下諸団体へ連絡する
所轄警察署に被害を届出
経済産業省へ被害状況を報告
情報処理推進機構(IPA)へ被害届を提出
不正アクセスの発信元と思われる通信事業社の不正アクセス対策窓口へ連絡
危機管理コンサルティングを招き、今後の対処について協議
▼10月6日(木)〜10月10日(月)
漏えい対象データを特定するための解析作業
危機管理コンサルティングと継続して協議
お問い合わせ受付体制の準備
▼10月11日(火)
お問い合わせコールセンター開設
お問い合わせ専用メールアドレスの運用開始
CLUBHOBiサイト上にて告知
_________________________________________________________
■今後のご対応
_________________________________________________________
▼お客さまへのご対応について
専用の問い合わせ電話ダイヤルおよびメールアドレスを開設し、
ご対応させていただきます。
▼「CLUB HOBi」の今後の運営について
現在、検討中です。
決定次第、当ホームページでご案内いたします。
▼情報セキュリティ対策について
「CLUB HOBi」以外のシステムを含め、脆弱性がないか緊急点検および、
修正を適宜実施しております。
また、必要な施策を引き続き適切に実施してまいります。
弊社としましては、今回の事態を厳粛に受け止め、
二度とこのような事態を招かぬよう、専門の危機管理コンサルティング会社
その他の専門家の協力を得ながら、全社一丸となって再発の防止に取り組み、
皆様からの信頼の回復に努めて参る所存でございます。
改めまして、この度の件ご迷惑ご心配をおかけ致しました事
謹んでお詫び申し上げます。誠に申し訳ございませんでした。
ホビボックス株式会社 / CLUB HOBi
■■■ 重要なお知らせ ■■■
本メールの宛先メールアドレスでご登録されているアカウント情報につきましては、
外部からの不正アクセスによる情報閲覧の可能性があるユーザーアカウントとなります。
orzorzorzorz
なお、この度の不正アクセスの内容等、現在までの経緯と
判明しております事実、および今後のご対応につきましては
下記の通りでございます。
_________________________________________________________
■確認された事実
_________________________________________________________
▼不正アクセスの日時と攻撃手法
2011年10月4日(火)午前7時55分42秒 〜 午前9時30分24秒にかけ、
大量かつ断続的に、弊社運営通信販売サイト「CLUB HOBi」データベース
サーバー内のデータベースに対して、SQLインジェクション
(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)
が行われたことをログ解析により確認致しました。
▼不正に閲覧・取得された可能性が確認された情報件数および内容
件数:本メールご案内のお客様、3,471件
内容:氏名、住所、ログインID、パスワード、メールアドレス、
暗号化されたクレジットカード番号、カード名義、カード有効期限
ビットキャッシュID、パスワード確認用の質問とキーワード
(ビットキャッシュとクレジットカードは、それぞれの情報を
ご登録されているお客様のみが該当いたします。)
※ご注文商品名については、不正閲覧をされた記録は認められません。
注文した品物はバレてないって、ほとんど救いになってねえよ……。
エロゲ系で情報流出というと、メッセサンオー祭以来。あれは全世界に大公開でどうしようもなかったけど、限られた連中にしか情報抜けてないからまだマシなのか?いや、辛いわ。