今更だけど、サウンドハウスにて個人情報が流出したらしいよ?

4月は会社研修でメールを受信できる環境には無かったんですが、その間に大変なことになってたらしいです。
というのも、音響機器の通信販売で有名な「サウンドハウス」にて、個人情報が流出したというもの。

手口としては、SQLインジェクションのようです。
何でも、2年近く前に不正プログラムを組み込まれていたとか。アクセス元は、やっぱり中国

経緯はこんな感じ?
2006年6月29日に中国内のブログにて、サウンドハウスへの進入方法が公開。
2008年2月18日に再度同様のものが掲載
2008年3月11日に、中国から多数のアクセス・集中攻撃

盗み出された情報数は、122,884名のから97,500人分。
流失したデータは、名前フリガナ性別生年月日メールアドレスパスワードクレジットカード情報(カード名義/カード番号/有効期限)らしい。

とりあえず、送られてきたメールとか。

Subject: 個人情報の流出について サウンドハウス


        ◆◆◆  個人情報の流出について  ◆◆◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様各位

平素は格別のご愛顧を賜り厚く御礼を申し上げます。

弊社ホームページにおきまして、既にご案内致しておりますが、このたび、弊社が
運営するインターネットショッピングサイトで過去に購入されたお客様の情報が
流出している可能性があるとのクレジットカード会社からの指摘を受け、
セキュリティ対策を専門とする第三者機関に調査を依頼したところ、外部からの
不正アクセスによって個人情報が流出した可能性が高い、との報告がありました。
現在、調査を継続しており、詳細が分かり次第、対象となるお客様に対しましては、
追ってご連絡を致します。

尚、お手数ではございますが、弊社WEBサイトへのログインパスワードと、
クレジットカードのパスワードが同一のものを使用されていた場合、それらの
パスワードの設定を変更して頂き、今後はそれぞれ異なるものをお使い頂くよう
お願い申し上げます。

誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りました
こと、深くお詫び申し上げます。


Subject: 個人情報の流出について サウンドハウス 4月5日


        ◆◆◆  個人情報の流出について  ◆◆◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様各位

平素は格別のご愛顧を賜り厚く御礼を申し上げます。

このたびは全く予期せぬ形で個人情報が流出する事態となり、お客様には多大な
ご迷惑、ご心配をおかけすることに至りましたこと、深くお詫び申し上げます。

現在も第三者調査機関に依頼し、調査を継続中ですが、弊社でわかる範囲で
お客様に随時、情報をお伝えしてまいります。現時点で判明したことは、今回の
弊社ホームページに対する攻撃元のIPが複数存在し、3月11日から22日の間に
仕掛けられたと考えられます。これらのIPは全て中国を発信元としており、
同時期、日本国内では同様の被害が、他社でも多数報告されているとのことです。
SQLインジェクションという手法でサイトに侵入する手口が今回、使われた
こともわかっており、只今どの範囲でデータが流出した可能性があるか、最終
確認をしております。少なくとも2007年1月1日より以前に新規会員登録を済まされて
いるお客様のデータの流出はないようです。

万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合には、
お客さまのご負担は一切ございませんので、ご安心いただきますようお願い申し
上げます。弊社としましても、この件を真摯に受け止め、スタッフ一同、お客様の
フォローに全力を注いでまいります。


Subject: 個人情報の流出について サウンドハウス 4月7日


2008年4月7日

お客様各位

平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。

               記
1. 概要

弊社が運営するインターネットショッピングサイトにおいて、過去に購入されたお客
様情報の一部が流出しているのではとのクレジットカード会社からの指摘を受け、セ
キュリティ対策を専門とする第三者機関に調査を依頼したところ、外部からの不正ア
クセスによりカード情報を含む個人情報が流出した可能性が高いとの報告がありまし
た。流出の経路としましては、中国からのアクセスが確認されております。これに基
づき、直ちに警察当局に被害届けを提出、経済産業省指定機関へ届出をすると共に、
クレジットカード会社と連携を取りながら対策を講じております。

2. 流出した情報について

2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数
122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内
カード情報保有データ27,743件)。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
・クレジットカード情報 (ご名義 /カード番号 /有効期限)
注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していな
い為、流出の危険はありません。また、ご住所、お電話番号に関しては、調査の結
果、流出の形跡はござ
いませんでした。

3. 現在の対応状況

セキュリティ対策を専門とする第三者機関からの提案に基づき、以下を実行しまし
た。 
・WEBシステム構成の再設計 ・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置 ・24時間体制の不正アクセス監視 
・ファイヤーウォールのアップグレード ・不正プログラムの除去 
・データベースからカード情報を削除
  
4. お客様へのお願い

サウンドハウスのログインパスワードにつきましては、ログイン時に必ずリセットす
るような仕組みに変更しておりますので、次回ログイン時に再設定をお願いします。
その際、クレジットカード会社で使用しているログインパスワードとは異なるパス
ワードを選択してくださいますようお願い致します。尚、クレジットカードの登録を
されたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に
記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただく
ようお願い致します。万が一、お客さまのカード情報が第三者に不正利用され被害が
発生した場合には、お客さまのご負担は一切ございませんので、ご安心いただきます
ようお願い申し上げます。

お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。

株式会社サウンドハウス
代表取締役社長 中 島 尚 彦


Subject: 個人情報の流出について 一部訂正 サウンドハウス


2008年4月7日

お客様各位

平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度のお客様情報の流出、及び、度々のメール配信で大変ご迷惑を
おかけしております。

本日配信致しました情報流出に関するご案内の中に

「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数
でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の
指示に従い、ご対応いただくようお願い致します。」

と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタ
リングする等、不正使用を早期に発見できる体制を整えております。また、万が一、
本件に起因してお客様のカード情報が不正に使用され、被害が発生した場合には、お
客様にご負担をおかけすることのないように対応する旨を伺っておりますので、お客
様からクレジットカード会社へご連絡いただく必要はございません。

お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。


株式会社サウンドハウス
代表取締役社長 中 島 尚 彦


Subject: お客様へのお詫びとお知らせ


2008年4月9日

お客様各位

平素は格別のご愛顧を賜り厚く御礼を申し上げます。

この度はお客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改
めて、お詫び申し上げます。また、お客様からのお問い合わせに対して、ご返事が遅
くなっており、誠に申し訳ございません。

9日正午の時点で、メールでのお問い合わせに対するご返事は、最大2日半の遅れが生
じております。本日中にはほぼ追いつく予定でおりますが、お客様のデータ内容の確
認につきましては、お電話でも承っておりますので、お気軽にお問い合わせくださ
い。

現状のセキュリティ管理につきましては、専門会社のアドバイスに従って、抜本的な
見直しを図り、お客様情報、その他データ管理においても、お客様が安心して弊社の
サイトをご利用いただけるよう、十分な整備を完了しております。今回の事件を教訓
に、ベストのシステム環境を整えることができました。今後は同様の被害が繰り返さ
れることのないよう、行政機関、カード会社との連携を保ちながら、積極的に詳細を
公開し、国内のサイバーインフラがより安全に、より強固なものとなるよう、全面的
に協力をしていく所存です。

尚、只今、3%リベートプログラムを、ホームページ上から銀行振込、もしくは代金引
換のお支払い方法で購入されたお客様に提供しております。一部のお客様からは、今
の状況で、商売気を出すのはいかがなものか、とのご批判も頂いておりますが、これ
はあくまで、クレジットカードの特典を活用することを考えておられたお客様に対し
て、現在カードがご利用いただけないことへの弊社からのお詫びでございます。

しかし、カードでご購入されるかどうかについては、弊社で判断が難しいため、結果
として全てのお客様にオファーさせていただくことと致しました。
お客様へのお詫びと感謝の心を込めて、現在も3%リベートプログラムを継続しており
ます。対象となる全てのお客様へ、今回の問題についての一連のご案内が完了した時
点で、改めて、弊社からお客様へのお詫びと、ご理解に対するお礼を明示させていた
だく所存です。

この度の件につきましては、重ねてお詫び申し上げます。
今後ともサウンドハウスをよろしくお願い致します。

株式会社サウンドハウス
代表取締役社長 中 島 尚 彦


Subject: 不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ


2008年4月18日

お客様各位

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ

この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出
する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを
深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回
復に社員一同、全力で取り組む所存です。
今回の個人情報流出の対象となる、2007年1月1日〜2008年3月22日までに新規会員登
録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂き
たく提示し、お客様のご理解を頂きたく存じます。

※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回
の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特
定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象
とさせていただきます。

1. この度の個人情報流出に関連して、万が一、お客様がカード不正利用などの直接
被害を受け、カード会社、またその他の機関によって補償が受けられない場合には、
弊社が責任を持って対処致します。

2. 個人情報流出の可能性がある122,884名 全てのお客様に、1,000円相当のクレ
ジットをお客様の弊社ご登録口座に進呈させて頂きます。

3. クレジットカードのご利用できず、そのポイントや、カードメリットを活用でき
ない上、不便であるという声が多くのお客様より寄せられているため、商品ご購入の
際、その合計代金の3%を、お客様の弊社ご登録口座にクレジットし、次回購入時にお
使い頂けるリベートプログラムを4月30日まで実施致します。

尚、累積されたクレジットの合計は、4月20日前後より、弊社ホームページにて、ご
注文時にご確認、ご利用頂けるよう、プログラムの変更を進めております。
また、今回の不正アクセスに伴う、お客様の個人情報流出に関して、時系列情報、関
連情報、並びに会社代表として私自身が見聞きしたこと、感じたこと、そして反省点
を、ありのままに書かせていただきました。ご一読頂ければ幸いです。

この度の件につきまして、重ねてお詫び申し上げますとともに、今後とも変わらぬお
引き立てのほど、何卒よろしくお願い申し上げます。

○詳細:http://www.soundhouse.co.jp/news/20080418.pdf

株式会社サウンドハウス
代表取締役社長 中 島 尚 彦


Subject: 不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ:補足


お客様各位

この度、メールにてお送りした「1,000円相当のクレジット」のご案内について、補
足説明をさせていただきます。

当初、「1,000円相当のクレジットをお客様の弊社ご登録口座に進呈させて頂きま
す。」とご案内いたしましたが、こちらはサウンドハウスでのお買い物代金に充当さ
せて頂く形になります。これは1,000円相当のお預かり金と同様の扱いになり、実際
には、次回ご購入時に1,000円分の割引が適用されるという意味になります。すでに
サウンドハウス会員情報に反映されておりますので4月18日よりご利用いただくこと
が可能です。このクレジットは2009年4月末まで有効となります 。

この度は大変ご迷惑をおかけ致しました。
今後ともよろしくお願い致します。


うむ、どうやら自分の情報も見事に流出したかもしれないようですねぇ。
保障あるみたいなんで、不正利用されても全然痛くは無いですが。

まだまだ、これからSQLインジェクションを使った不正アクセスがたくさん出てきそうな予感。
このサウンドハウスみたいな事件がね。

それらをなくすには・・・・・・、中国を無くs (ry

| コメント(0) | トラックバック(0) |
■Yahoo!オークション おすすめ商品■
Web Services by Yahoo! JAPAN

トラックバック(0)

トラックバックURL: http://type-y.com/mt/mt-tb.cgi/451

コメントする