7965 象印マホービン 2020-02-03 15:30:00
弊社グループ会社が運営する「象印でショッピング」への不正アクセスによる個人情報流出に関する第三者機関による調査結果のお知らせ [pdf]
2020 年 2 月 3 日
各 位
会 社 名象印マホ ービン株式会社
代表者名
代 取 締 役 社 長 市川 典男
市
(コード 7
7965 東証
証第一部)
問合せ先 広 報 部 長 西野 尚至
西
(TE
EL.06-6356-2329)
弊社
社グループ
プ会社が運営
営する「象
象印でショッ
ッピング」への不正ア
アクセスに
による
個人
人情報流出に
に関する第
第三者機関に
による調査
査結果のお知
知らせ
弊社グ
グループ会社
社(象印ユー
ーサービス株
株式会社)が運営する部品
品・消耗品販
販売サイト「象印でシ
ョッピン
ング」におき
きまして、第
第三者による 不正アクセスを受け、当
当該サイト内
内でお客様の
の個人情報
が流出し
した件(以下
下「本件」と
といいます。 )につきまして、2019 年 12 月 5 日
日から 2020 年 1 月 16
日(追記
記)にかけて
て、弊社公式
式ホームペー
ージにてご報
報告させていただきました
た。
この度
度、第三者調
調査機関によ
よる調査が完
完了しましたので、改めて
てこれまでの
の経緯ならび
びに再発防
止策等に
につきまして
てご報告申し
し上げます。
この度
度は、お客様
様をはじめ、関係者の皆
皆様に多大なるご迷惑およ
よびご心配を
をおかけする
る事態とな
りました
たこと、深く
くお詫び申し
し上げますと ともに、今後、再発防止
止策の確実か
かつ速やかな
な実施に全
力を尽く
くしてまいり
ります。
記
1.経緯
2019 年 12 月 4 日 19 時 09 分に一部のお
分 お客様より、弊
弊社キャンペ
ペーンに乗じ
じた不審なメ
メールが届
いている
るとのお問い
い合わせを受
受け、内部調
調査の結果、第三者による
る不正アクセ
セスならびに
に、個人情
報が漏洩
洩しているこ
ことが発覚し
し、弊社グル
ループ会社が運営する「象
象印でショッ
ッピング」を
を同日 20
時 50 分に停止いたしました。
翌 12 月 5 日、弊社
社内に対策本
本部を設置し
し、本件に関
関する被害拡
拡大防止措置
置を実施のうえ、お客
様宛てに
に、「弊社グ
グループ会社
社が運営する「象印でショッピング」
」への不正ア
アクセスによ
よる個人情
報流出に
に関するお詫
詫びとお知ら
らせ」( htt
tps://www.z
zojirushi.c
co.jp/impor
rtant/info/01.html )
と題する
る本件に関す
する第一報を
をご報告させ
せていただくとともに、電
電子メール等
等を通じてお
お客様に対
するご通
通知をさせて
ていただきま
ました。
その後
後、弊社にお
おいて、順次
次、第三者調
調査機関への調査依頼、弁
弁護士への相
相談、個人情
情報保護委
員会への
の報告、大阪
阪府警サイバ
バー犯罪相談
談窓口への連絡と相談、大
大阪府警天満
満警察署への
の情報提供
-1-
及び捜査要請を進めてまいりました。この間、「象印マホービンを装った偽装メールにご注意くだ
さい」( https://www.zojirushi.co.jp/important/info/02.html )と題する、弊社を装ってお客
様のクレジットカード情報を入力させようとする偽装メールの手口についての注意喚起を行って
まいりました。
この度、第三者調査機関による調査結果を受け、弊社および弊社グループ会社における再発防止
策および今後の方針がまとまりましたので、改めてご報告させていただく次第です。
2.状況
(1) 「象印でショッピング」への第三者による不正アクセス
①原因
「象印でショッピング」システム(以下「本システム」といいます。)の一部の脆弱性を突い
たことによる第三者の不正アクセス(以下「本不正アクセス」といいます。)により、個人情
報の抜き出しが行われておりました。
②本不正アクセスによるお客様の個人情報流出の概要
(a) 流出した可能性のある個人情報件数 : 最大 270,589 件 (2015 年 2 月 18 日以降ご購
入のお客様)
※第三者調査機関による調査の結果、実際の個人情報流出件数は、より少ない可能性もある
ものの、特定不可能であるため、本不正アクセスを受けたデータベース内の全データを最
大件数としてご報告しております。
(b) 流出した可能性のある個人情報
「象印でショッピング」にてご購入をされていたお客様の情報
<必須入力情報>
お客様名、住所、注文内容(商品、金額等)、配送先情報、メールアドレス、電話番号
<任意入力情報>
生年月日、性別
※本不正アクセスを受けたデータベース内においてお客様のクレジットカード情報を保持
しておらず、本不正アクセスにより流出した可能性のある個人情報に、お客様のクレジッ
トカード情報は含まれておりません。
(2)偽装メールによるクレジットカード情報を入力させようとする偽装サイトへの誘導
①原因
2019 年 12 月 4 日および 2019 年 12 月 15 日に、以下のような件名の、弊社を装った偽装メール
が、本不正アクセスにより流出したお客様のメールアドレス宛てに送信されました。当該偽装
メール内においては、弊社を装ってお客様のクレジットカード情報を入力させようとする偽装
サイトへのリンクが添付されており、当該偽装サイトにアクセスし、クレジットカード情報を
入力されたお客様については、お客様のクレジットカード情報が窃取された可能性がございま
す。
-2-
メール件名:
「〇〇〇〇(お客様のお名前) おめでとうございます!オリジナルQUOカード キャンペー
ン実施中!」
送信元アドレス:shopmaster@zojirushi.co.jp ※本メールアドレスは現在使用しておりません。
②偽装サイトへのクレジットカード情報の入力によるお客様の個人情報窃取の概要
(a) 窃取された可能性のある個人情報件数
2019 年 12 月 4 日の偽装メールに関連するもの : 最大 延べ 734 件
以降の偽装メールに関連するもの : 不明(情報を入力されたお客様数)
※2019 年 12 月 5 日の本件に関する第一報のご報告以降、随時、偽装メールについての注意
喚起を行っておりますが、本日までの期間においても、弊社を装った偽装メールまたは他
社通販サイトを装った偽装メールがお客様に送付される事例が発生しており、今後も同様
の手口による偽装メールが配信される可能性がございます。お客様におかれましては、弊
社ウェブサイトの「個人情報流出についての重要なお知らせ」ページ
( https://www.zojirushi.co.jp/important/index.html )の内容もご確認いただき、十
分ご注意いただきますよう重ねてお願い申し上げます。この度は、ご迷惑をおかけしまし
て、大変申し訳ございません。
(b) 窃取された可能性のある個人情報
クレジットカード情報
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(これら 4 つの情報を以下「カード情報」といいます)
その他情報
・偽装サイトでお客様が入力されたパスワード
3.お客様へのご報告
不正アクセスにより個人情報を流出した可能性のある全てのお客様に対して、お詫びとお知らせ
ならびに注意喚起のご連絡を実施しました。
① 公式ホームページ
2019 年 12 月 5日 【重要】個人情報流出についてのお知らせ(象印でショッピング)
2019 年 12 月 6日 同更新
2019 年 12 月 9日 同更新
2019 年 12 月 16 日 同更新
2019 年 12 月 16 日 【重要】象印マホービンを装った偽装メールにご注意ください
2019 年 12 月 18 日 同更新
2020 年 1 月 16 日 【重要】偽装メールにご注意ください
-3-
② 電子メールによるご連絡(対象のお客様)
2019 年 12 月 6 日~ 8 日 【重要】個人情報流出についてのお知らせ(象印でショッピング)
2019 年 12 月 18 日~19 日【重要】象印マホービンを装った偽装メールにご注意ください
2020 年 1 月 16 日~17 日【重要】他社通販サイトを装った偽装メールにご注意ください
③ 郵送によるご連絡(※電子メールにて不達のお客様)
2019 年 12 月 24 日発送 【重要】個人情報流出についてのお知らせ(象印でショッピング)
4.関係先への報告
弊社は、本件につきまして、関係先に対して以下のとおり報告を行いました。
①個人情報保護委員会に対しての報告
②警察当局に対しての連絡と被害届提出に向けた相談
・大阪府警サイバー犯罪相談窓口へ連絡と相談を実施
・大阪府警天満警察署への本件に係る情報提供及び捜査要請を実施
③クレジットカード会社に第三者調査機関の調査結果を報告
5.お客様へのお願い
お客様におかれましては、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚
えのない請求項目がないか、今一度ご確認ください。万が一、身に覚えのない請求項目の記載があ
った場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い
合わせいただきますよう、お願い申し上げます。
また、偽装された決済入力情報画面においてパスワードを入力された方は、メールアドレスと当
該パスワードの組み合わせで他のサービスにログインされ悪用される恐れがございますので、パス
ワードの変更を併せてお願い申し上げます。
前述しましたとおり、今後も同様の手口による、偽装メールが配信される可能性がございます。
大変申し訳ありませんが、お客様におかれましては、引き続き十分ご注意いただきますよう重ね
てお願い申し上げます。
6.再発防止策ならびに情報セキュリティ強化の取り組み
弊社は今回の事態を厳粛に受け止め、第三者調査機関の調査結果を踏まえて、システムのセキュ
リティ対策および監視体制を強化し、再発防止を図ってまいります。
また、情報セキュリティ体制面においても強化に取り組んでまいります。
以下に主な取り組み内容をご報告いたします。
【システム面におけるセキュリティ対策】
・異常を検知する監視機能の強化 2019 年 12 月 25 日完了
・システムや情報へのアクセス制御の厳格化、ID・PW の管理強化 2019 年 12 月 25 日完了
-4-
・不正プログラム感染防止対策の実施 2019 年 12 月 26 日完了
・全公開サイトの証明書強化(EV-SSL 化) 2020 年 1 月 23 日完了
・通信ネットワークの保護強化(構成見直し・侵入検知等) 2020 年 2 月中旬完了予定
・改ざん検知・監視機能の強化 2020 年 2 月末日完了予定
【情報セキュリティ体制の強化策】
・情報セキュリティ定着に向けた公的認証(ISMS)の取得を予定
7.運営するサイトの再開について
現在閉鎖中の「象印でショッピング」サイトについては、万全なセキュリティ対策を施すための
刷新作業に取り組んでおり、対策完了後できるだけ早期に再開できるよう努めてまいります。サー
ビス再開日については、弊社公式ホームページ( https://www.zojirushi.co.jp/ )にて改めてご連
絡いたします。ご不便をお掛けし申し訳ありませんが、今しばらくお待ちいただきたくお願い申し
上げます。
8.本件に関するお客様からのお問い合わせ窓口
≪象印マホービン株式会社 個人情報流出専用窓口≫
・受付時間: 2020 年 2 月 12 日(水)まで 9:00~19:00(日・祝日除く)
: 2020 年 2 月 13 日(木)以降 9:00~17:00(土・日・祝日除く)
・電話番号:専用フリーダイヤル 0120-120-450
・お問い合わせフォーム: https://form.zojirushi.co.jp/goiken
9.最後に
この度は、お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態とな
りましたこと、深くお詫び申し上げます。
なお、本件が弊社の業績に与える影響は現在のところ軽微と思われますが、今後、重大な影響が
見込まれる場合には、速やかに開示いたします。
以 上
-5-