千趣会の子会社個人情報流出、サーバー委託先セキ株式会社が原因か?千趣会株価にも影響・・・

15日、千趣会の子会社であるベルネージュダイレクトが、約13万人の個人情報を流出した可能性があると発表しました。
今回の個人情報流出の経緯と原因はどこにあったのでしょうか?個人情報を管理していたサーバーが外部に委託していたセキ株式会社の経緯報告の内容から、どこよりも早く、千趣会子会社の個人情報流出の詳細をまとめました。

千趣会子会社、13万人の個人情報流出

通信販売大手の千趣会(大阪市)は15日、子会社のベルネージュダイレクト(東京都千代田区)が運営するインターネット通販サイトで不正アクセスがあり、氏名や住所、クレジットカードの番号などの個人情報13万1096件が流出した可能性があると発表した。

産経ニュース

通販大手の千趣会は15日、子会社が運営する通販サイトで不正アクセスがあり、氏名や住所、クレジットカードの番号などの個人情報13万1096件が流出した可能性があると発表しました。

現在、個人情報流出による被害報告なし

2012年9月20日~2015年8月26日の間にサイトを利用して注文した顧客情報の一部が流出。現在のところ、被害は確認されていないとのことです。

千趣会、子会社にて緊急お客様センターを設置

対象サイトは「ベビパラハッピーギフト」「Pre-mo ギフト」「TOMATOMA ギフト」「ベビパラギフト」。対象者には謝罪メールを送付し、子会社のベルネージュダイレクトは緊急問い合わせ窓口を設置しています。
番号は0800-1111-022(フリーコール)。


個人情報流出の被害規模

千趣会が公開している個人情報流出内容と流入数は以下の通り。

1.当該サイト会員
21,994 件 (内クレジット情報あり 13,713 件)
氏名・住所・電話番号・メールアドレス・パスワード・クレジットカード情報等

2.ギフト送り先
110,564 件
氏名・住所・電話番号 総件数(当該サイト会員数のうちギフト送り先の重複を除いた件数) 131,096 件

どんな個人情報を収集していたのか?

こちらが、現在別サーバーで稼働しているベルネージュダイレクトの会員登録ページ。ここに入力された内容がそのままだだ漏れになっている模様。

sd-gift.jp ※クリックで拡大

このように一般的な住所、電話番号から、

sd-gift.jp ※クリックで拡大

お子様情報まで保存していたようです。自分の情報ならまだしも、子どもの情報が流出すると、「気持ちが悪い」と思われる方、多いのではないでしょうか?


個人情報が流出した原因は?事件の経緯

今回ややこしいのが、個人情報を管理していた会社が千趣会でも、子会社のベルネージュダイレクトでもないということ。その個人情報を管理しているサーバーは委託先として、愛媛県の上場企業のセキ株式会社 にて管理・運営されていたそうです。

そのため、下記に、セキ株式会社が公表している、今回の個人情報流出の経緯から個人情報流出の原因を検証してみます。
出典元:セキ株式会社『当社お客様情報の流出に関するお詫びとお知らせ

個人情報流出の経緯

問題発覚の経緯と警察等への報告状況
8 月 21 日:弊社社員(複数)に対し、サイトの一つで不審な商品勧誘メールが送られてきたことから不正アクセスの形跡を確認。弊社サーバーからの情報流出を疑い、弊社サーバー管理会社に異常の有無の確認を依頼しましたが、この段階では異常は見つけられませんでした。
しかし管理者権限IDとパスワードの変更を行い、個人情報対策本部を設置の上、管理会社に監視レベル水準の引き上げを指示しました。
8 月 24 日:通常のログ調査においては、情報流出の形跡は見られなかったものの、疑念が解消されなかったため、外部の第三者であるフォレンジック調査会社に調査を依頼しました。
8 月 26 日:調査会社より Web アプリケーションの脆弱性を突いたサイバー攻撃が実施され、侵入者によってコマンド実行やデータベースアクセスが行われた可能性を排除 できないとの報告がありました。この時点で、調査会社の指導の下、即日、バックドアプログラムの削除、サーバー内の権限分離を実施し、攻撃に対するセキュリティを確保しました。
8 月 31 日:調査会社より一部含まれるクレジットカード情報について情報流出の可能性を排 除できないとの報告を受け、調査会社の指導の下、決済代行会社、クレジットカ ード会社との連携による取引のモニタリングを開始しております。(現状カード の不正利用を疑う報告は確認されておりません。)
9月3日: 8月26日の対応にて以降の個人情報流出懸念はないものと認識しておりますが、 今後の未知の攻撃に対する備えを強化するため、IPS(侵入防止システム)およ び WAF(Web アプリケーションファイヤーウォール)を導入し、第三者である調 査会社よりソフトウェアが確実に適用されていることの確認を得ました。
9月4日: 主務官庁への第一次報告を実施しました。
9月9日: 警察署へ被害状況の相談を実施しました。

注目すべきは、8月26日の報告。
「調査会社より Web アプリケーションの脆弱性を突いたサイバー攻撃が実施され、侵入者によってコマンド実行やデータベースアクセスが行われた可能性を排除できないとの報告がありました。この時点で、調査会社の指導の下、即日、バックドアプログラムの削除、サーバー内の権限分離を実施し、攻撃に対するセキュリティを確保しました。」

ここがすごく気になるところですね。
つまり、大事な個人情報を大量に扱っておきながら、サーバー内の権限分離も実行していなかった。おそらく、サーバー管理者のログインID、PASSを一発くぐり抜けられたら、全個人情報にアクセス可能な状態になっていたということでしょう。顧客情報の暗号化もされていないように見えます。サイバー攻撃というたいそうな言葉を使われますが、真相は分かりません。

顧客IDへのブルートフォースアタックではなかった

ブルートフォースアタックとは、パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試みるといった一種のサイバー攻撃。
ベルネージュダイレクトが「ログインID」と「Password」を用いて会員ページにログインする仕組みを採用しているため、どこかで流出したログインIDとPasswordを使ってアタックを試みたのかと考えたのですが違いました。

LINE乗っ取りのような顧客のID、Passwordの使い回しが原因なら話が別ですが、これはサーバー管理会社の考えの甘さが露呈した結果である可能性が高いでしょう。

この個人情報流出の経緯報告を見たところ、セキ株式会社が100%の賠償責任を負わざるをえないと考えられます。

千趣会、株価に影響も・・・

千趣会、3日続落している。後場に下げ幅を拡大して、一時前日比13円(1.8%)安の702円まで下げ、年初来安値を更新した。個人情報が流出した恐れがあると発表したことを嫌気した売りが出ている。

日本経済新聞

個人情報の流出は千趣会の株価にも影響し、15日の個人情報の流出を発表後、年初来最安値まで更新している様子。

問題のセキ株式会社については、9/15現在、まだ株価に影響が出ていない様子。上場企業ではあるが、時価総額60億の会社。重要顧客である千趣会グループへ甚大な被害を与えた影響は、今後の賠償問題にも発展すれば、経営にも大きなインパクトを与えそうです。


本件につきまして、引き続き続報があり次第、こちらのページにて更新していきます。

気になるお金の話題 #個人情報 #千趣会 #流出

マネートークを読もう!

関連記事
太古レストラン「ダイナソー」神奈川県大和市にオープン!噂の恐竜レストランまとめ

太古レストラン「ダイナソー」が8月17日にオープンしました! …

71,570 views
牧野結美アナのフライデー画像には元動画が存在していた!流出写真は動画のキャプチャ画像だったらしい・・・

フライデー女子アナ不倫画像流出騒動で新展開を迎えそうです。なん…

242,300 views
【顔画像あり】落語家、桂小軽ら7人逮捕!相続税約5億円を脱税した疑い

ライオンに襲われた落語家として有名な桂小軽ら7人が、相続税約5…

12,455 views
【画像あり】サービスエリアで公然わいせつ逮捕、佐賀県議の服巻稔幸とは?建設会社の社長さんらしい・・・

佐賀県議の服巻稔幸氏が公然わいせつの容疑で現行犯逮捕されました…

12,202 views
武藤貴也議員、未公開株の次は未成年者買春のゲイ疑惑!?証拠にLINE画像も。

自民党を離党した武藤貴也議員にどえらいスクープ。“議員枠未公開…

23,375 views
【画像あり】三原じゅん子の再婚相手、中根雄也ってどんな人?結婚に向け公設秘書をすでに辞めていた!

週刊文春が報じた元女優で参議院議員、三原じゅん子の三度目の結婚…

9,156 views
【画像あり】嵐のチケット転売ブリーダー、山中いづみとは?嵐の大ファン&松潤担だったことが判明・・・

「嵐」のコンサートチケットを無許可で転売した香川県善通寺市のブ…

14,399 views
嫁・子どもあり、ロッテ清田育宏が不倫相手の北原麻衣から妊娠、堕胎暴露【Twitter/LINE/パズドラ画像まとめ】

世間を騒がしているロッテ清田育宏の不倫暴露報道。清田選手との間…

368,349 views
新宿に直営店オープンのアイフォリアとは?iPhoneケースの価格はどれくらい?

8月27日ルミネエスト新宿に直営店をオープンするアイフォリア(…

7,256 views
東京オリンピックエンブレム相関図の黒幕?永井一正氏「原案は劇場ロゴと似てない」

東京オリンピックのエンブレム問題、続報で審査委員長の永井一正氏…

6,364 views
ダルビッシュ有の弟、ダルビッシュ翔がハンデ師とは?賭博開帳図利容疑を否認

ダルビッシュ有の弟、ダルビッシュ翔容疑者の野球賭博事件。翔容疑…

5,058 views