2016年06月21日

2014年9月に発生した、「MakeShop」への不正アクセスにおける 再調査と漏えい件数変更のご報告

2016年6月21日
お客様各位


2014年9月に発生した、「MakeShop」への不正アクセスにおける
再調査と漏えい件数変更のご報告
平素は格別のご高配を賜り、厚く御礼申し上げます。

2014年9月にWEBサイトでご報告をしておりました『「MakeShop」への不正アクセスによる情報漏えいの可能性について』に関し、この度警察当局からの情報提供を元に再調査をしたところ、当時把握していたより多くの件数が外部に漏えいしていたことが判明いたしました。
店舗様ならびに関係者の皆様に、多大なるご心配とご迷惑をお掛けしましたこと、心より深くお詫び申し上げます。
なお、不正アクセスが発生した2014年9月24日から2016年6月21日現在までの間において、なりすましによる不正購入などの被害の報告はございません。また、2014年9月25日以降に「MakeShop」をご利用の店舗様及び店舗様の会員様情報の漏えいはございません。


■情報漏えい判明の経緯と概要

2014年9月24日、弊社が運営するネットショップ構築サービス「MakeShop」で、不正アクセスが発生いたしました。これを受け、発生状況の把握、発生原因の調査をした結果、最大320店舗の管理者用ログインID・パスワード、うち39店舗の最大101,624件の会員様情報が漏えいした可能性があることを、2014年9月25日、弊社WEBサイトで公表※し、再発防止策を講じておりました。
2016年5月、警察当局より「MakeShop」をご利用の店舗様及び店舗様の会員様情報と思われるデータの提供を受け再調査した結果、2014年9月時の不正アクセスにおいて弊社で把握しご報告していたより多くの件数が、外部に漏えいしていたことが判明いたしました。

※2014年9月25日GMOメイクショップ社の公表について


■今回調査で判明した件数

2014年9月当時に漏えいしていたことが判明した件数は以下の通りとなります。

（1）2014年9月24日までに「MakeShop」をご利用されていた店舗様のうち6,116店舗様の情報
1）店舗数の内訳（※2016年6月時点）
運営中の店舗様数：531店舗
退店済み店舗様数：5,585店舗
2）店舗情報
ショップID　／　ショップパスワード　／　ショップ住所　／　ショップ電話番号
申込者名　／　申込者電話番号　／　メールアドレス　　など

（2）2014年9月24日までに店舗に登録されていた会員情報
1）件数　625,578件
2）会員情報 （※1）
会員ID　　／　会員パスワード（※2）
氏名　　　／　　生年月日　　／　性別
メールアドレス　／　住所　／　職業　　／　電話番号
ポイント情報　　／　決済手段区分　／　PAIDメンバーID（※3）

（※1）クレジットカード情報は保有しておりません。
（※2）ハッシュ化と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換える手法を採用しています。
（※3）法人向け後払いサービス「Paid」の会員IDを指します。


■対象の店舗様及び店舗会員様への対応について

（1）対象となる店舗様
現在運営中の店舗様には、弊社より個別に「MakeShop」管理画面のログインパスワード再設定のお願いを6月13日(月)にメールでご案内させていただきました。
その後、6月20日(月)までにパスワード再設定の確認ができていない店舗様に関しましては、二次被害防止のため、誠に勝手ながら弊社側でパスワードを変更させていただき、本日6月21日(火)にパスワード再設定のお願いのメール（件名：パスワード強制変更及び再設定のご依頼）をお送りいたしました。メールアドレスの変更等により本お知らせメールを受信できていない店舗様は、大変お手数をお掛けいたしますが、以下の専用フリーダイヤルまでご連絡くださいますようお願い申し上げます。
また退店済みの店舗様も、以下の専用フリーダイヤルにてお問い合わせを受け付けておりますので、合わせてご案内させていただきます。

【店舗様専用】
MakeShopカスタマーサポート　店舗様専用フリーダイヤル

電話：0120?778?308
専用ダイヤル設置期間：2016年6月13日(月)?7月29日(金)
受付：平日9：00?18：00
メール：本件につきましては、メールでのお問い合わせを受け付けておりません。大変お手数ではございますが、専用フリーダイヤルまでお願い申し上げます。

（2）対象となる店舗会員様
弊社から、本件の対象となる店舗様に対し、店舗会員様の皆様へパスワード再設定のご依頼を行っていただくようお願いしております。
また、ご不明な点がございましたら、以下6月27日設置予定の店舗会員様専用のフリーダイヤルまでご連絡くださいますようお願い申し上げます。

【店舗会員様専用】
MakeShopカスタマーサポート　店舗会員様専用フリーダイヤル

電話：0120?180?600
専用ダイヤル設置期間：2016年6月27日(月)?7月29日(金)
受付：平日9：00?18：00
メール：本件につきましては、メールでのお問い合わせを受け付けておりません。大変お手数ではございますが、専用フリーダイヤルまでお願い申し上げます。
※8月1日(月)以降のお問い合わせにつきましては、MakeShopの通常カスタマーサポートダイヤルにて受け付けております。
電話：03-5728-6224
受付：平日9：00?18：00

■再発防止策について
（1）実施した再発防止策
・2014年9月24日の不正アクセス発生時に、脆弱性のあったプログラムを改修
・外部セキュリティ専門会社によるセキュリティチェックの実施
・不正プログラム実行検知システムの導入

（2）実施予定の二次被害防止策
今回新たに以下のセキュリティ対策強化の導入を予定しております。導入時には改めてご連絡を差し上げます。
・店舗様及び店舗会員様が普段ご利用にならない環境から管理画面及びショップにログインした場合にアラートメールを配信
・「MakeShop」管理画面ログインのセキュリティ強化

（3）抜本的なシステムリスク管理体制の強化策
弊社ではこの事態を厳粛に受け止め、より一層の情報管理体制の強化、システム運用体制の強化など、更なるシステムリスク管理体制の強化を図り、信頼の回復に努めてまいります。
・システムリスク管理委員会の設置によるシステムリスク評価への対応強化
・セキュリティ専門の第三者機関を交えた更なるシステム運用改善計画の立案、実行
・再発防止策の定期的なモニタリング実施



以下、2014年9月25日発表のお知らせ


2014年9月25日
お客様各位

GMOメイクショップ株式会社

「MakeShop」への不正アクセスによる情報漏えいの可能性について

　GMOメイクショップ株式会社（以下、GMOメイクショップ社）が提供するネットショップ構築サービス「MakeShop」において、第三者による不正アクセスが確認され、情報が漏えいした可能性があることが判明いたしました。

なお、クレジットカード番号の漏えいはございません。

1．不正アクセスの状況について
ネットショップ管理画面から悪意のあるプログラムが仕込まれたことが判明し、調査の結果、一部のネットショップ運営者様の管理者用ショップID・パスワードと、当該ネットショップの注文者情報が漏えいした可能性があることが判りました。
　現在、不正アクセスのあったIPアドレスを遮断し、不正ファイルが実行されないようプログラム改修作業を行っております。
　※上記プログラム改修は完了しております。

2.被害の状況について
　対象のネットショップおよび漏えいした可能性のある情報は以下のとおりです。
・最大320店舗の管理者用ショップID・パスワード
・うち39店舗の注文者情報 最大101,624件
（氏名、メールアドレス、住所、電話番号、注文情報など。なお、パスワードおよびクレジットカード番号の漏えいはございません。）

3.本件に関するお客様への対応について
対象となりましたネットショップの管理者パスワードにつきましては、被害拡大を防ぐため、弊社の判断でリセットを行いました。対象のネットショップ運営者様へ個別に再設定のお願いを本日メールでご案内いたしております。

4.本件に関するお客さまのお問い合わせ先
本件についてのお問い合わせ先窓口を以下のとおり開設いたしました。
・お問い合わせメール　　help＠makeshop.jp

GMOメイクショップ社では、システムの監視体制を強化し、再発防止に取り組んでまいります。
ネットショップ運営者様ならびに関係の皆さまには、ご心配およびご迷惑をおかけいたしますこと、心よりお詫び申し上げます。

以上