2022.05.26
お客様各位
株式会社デジタ
不正アクセスによる個人情報流出に関するお詫びと調査結果の最終報告
2022年5月26日
弊社が運営する「印刷通販デジタ」におきまして外部からの不正アクセスを受け、個人情報の流出が判明し、2022年2月25日から4月1日にかけてに公表いたしましたが、追加調査を進めた結果、新たに9,700件の流出が確認され本事案発生からの累計は36,173件となりました。新たに本件の対象となられた会員様には、5月26日より該当のメールアドレス宛にお知らせとお詫びに関するメールをお送りいたします。併せましてお詫び状とお詫びの品としてQUOカード500円分を6月1日より順次郵送いたします。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
また、4月よりセキュリティ専門の第三者機関による調査を開始し、このたび全ての調査が完了し最終報告書を受領しましたので、調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。
【経緯】
2月21日に外部からの不正アクセスにより、弊社保有の一部のお客様の個人情報が引き出されている可能性があることを認識。同日、不正アクセスを行っていた特定のIPアドレス群からの通信を遮断・セキュリティ強化の対策をすると共に、流出内容・範囲の調査を実施。
2月25日、「不正アクセスによる個人情報流出に関するお詫びとご報告」を公表。流出件数は21,042件。対象のお客様に個別でメール連絡を開始し、問い合わせ窓口を設置。
2月28日、個人情報保護委員会への報告
3月1日、所轄警察署への報告
3月10日、セキュリティ専門企業に脆弱性診断(※1)を依頼
3月23日、セキュリティ専門の第三者機関にフォレンジック調査(※2)を依頼
3月25日、初期調査判明分で対象のお客様にお詫び状とお詫びの品の送付開始
4月1日、新たに確認された流出内容を公表。累計が26,473件に増加。追加で対象となったお客様にお詫び状とお詫びの品の送付開始
4月12日、フォレンジック調査開始
4月13日、脆弱性診断開始
4月21日、脆弱性診断の中間報告書を受領
4月22日、フォレンジック調査の中間報告書を受領
4月27日、脆弱性診断の最終報告書を受領
5月13日、フォレンジック調査の最終報告書を受領
5月26日、「不正アクセスによる個人情報流出に関するお詫びと調査結果のご報告(続報)」を公表。新たに確認された流出内容を公表し、累計が36,173件に増加。追加で対象となったお客様に個別でメール連絡を開始し、お詫び状とお詫びの品の送付を開始
6月9日、対象となったお客様へのお詫びの品の送付完了
6月30日、脆弱性診断の再診断を実施
7月6日、脆弱性診断の再診断の報告書を受領
(※1)開発や設計の不備によるセキュリティ上のリスクを可視化・発見し脆弱性に対する対策を行うための検査
(※2)サーバのログファイルなどから不正アクセスの記録を分析・解析し、事案の内容を把握・解明する調査手法
【流出を確認した個人情報】
[初回の公表で報告した内容]
・2021年4月10日から2022年2月21日に商品の発送が行われたお客様のメールアドレス
・2016年12月28日から2018年9月4日の期間に送信した一部の発送完了メールに記載の氏名・住所・電話番号かつ注文者のメールアドレス
[今回の公表で報告した内容]
・2015年10月10日から2016年4月2日の期間の注文完了メールのメール本文
・2016年4月11日から2017年1月23日の期間にお問い合わせフォームおよびsupport@digitaprint.jpに送信されたお客様のメールアドレス・メール本文・メール件名
・2016年11月14日に印刷通販デジタを利用した一部のお客様のメールアドレス・メール本文
・2017年の4月~5月に実施したアンケート調査の対象のお客様に送信したメールアドレス・メール本文
以上の全36,173名のお客様の個人情報の流出を確認いたしました。
今回不正に引き出された情報はメールに付随する情報のため、弊社webサイトにログインするためのパスワードやクレジットカード情報、入稿データなどの流出はございません。また、調査の結果、不審なログインやマルウェアの設置はございませんでした。
※クレジットカード情報はセキュリティの観点から決済を外部に委託しているため、弊社サーバでは保管しておりません。
【お客様対応】
2月25日と4月1日に公表いたしました流出内容に該当のお客様には、既に個別で「不正アクセスによる個人情報流出に関するお詫びとご報告」のメールを送信し、お詫びの品としてQUOカード500円分を送付済みでございます。
今回新たに本件の対象となられた会員様には、5月26日より該当のメールアドレス宛にお知らせとお詫びに関するメールをお送りし、お詫び状とお詫びの品としてQUOカード500円分を順次郵送いたします。
【対策と再発防止につきまして】
・セキュリティ設定の強化(2月21日対策済み)
・問い合せ窓口の設置(2月25日設置)
・個人情報保護委員会への報告(2月28日報告済み)
・所轄警察署への報告(3月1日報告済み)
・セキュリティ専門の第三者機関によるフォレンジック調査(5月13日完了)
・セキュリティ専門企業による脆弱性診断を実施し、脆弱性がある箇所を全て修正済み(5月21日完了)
・今後はセキュリティ専門企業に定期的なセキュリティ診断を実施予定。
弊社では、今回の事態を厳粛に受け止め、お客さまに安心・安全にサービスをご利用いただくために、セキュリティ対策の継続的な強化に取り組んでまいります。あらためまして、本件につきまして、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
【お客様へのお願い】
万が一不審と思われるメールを受け取った場合は、直ちに消去していただくようお願いいたします。さらにメールに添付されているファイルの開封や、記載されているアドレスへのアクセス、偽サイトの入力フォームへの入力等につきましても、十分ご注意いただくようお願いいたします。
【報告のあったフィッシング詐欺メールの具体例】
「au簡単決済」「メルカリ」「Amazon」「えきねっと」「JCB」「UCS」をかたり偽サイト(フィッシングサイト)へ誘導するメール
【本件に関するお問合せ窓口】
電話番号:0573-59-8155
営業時間:平日10:00~17:00
メールアドレス:support@digitaprint.jp
※電話回線が混み合う可能性がございますので、可能な限りメールでのお問い合わせにご協力をお願いいたします。
【更新履歴】
2022年2月27日 報告のあったフィッシング詐欺メールの具体例を追加
2022年3月1日 対策と再発防止につきましてを更新
2022年3月2日 不正に引き出された情報を更新
2022年3月3日 お客様対応についてを更新
2022年3月11日 お客様対応についてを更新・報告のあったフィッシング詐欺メールの具体例を更新
2022年4月1日 不正に引き出された情報・対策と再発防止に付きましてを更新
2022年5月26日 不正アクセスによる個人情報流出に関するお詫びと調査結果の最終報告を掲載
2022年7月27日 経緯の情報を更新