不正侵入経路は外部入力コンテンツか

　同社によると６月２６日頃から、不正侵入によるアクセスが開始され、サーバー内のデータが外部に流出し、第三者によって読み書き可能な状態となった。侵入経路は問い合わせなど外部から入力できるコンテンツではないかと推測している。その後、データアクセスの最高権限に侵入し、データの読み書きが可能な状態となり、サーバー内の残存データも改ざんされた。

　情報流出の可能性のある個人情報は１万１１５６件で、対象は氏名／性別／生年月日／住所／電話番号／メールアドレス／パスワード／利用履歴／メールの文面（１８年６月１３日～２７日に行われたメールによる問い合わせ内容）。なお、クレジットカード情報については、同社ＥＣサイトで利用している決済代行会社２社がカード決済情報をサーバー上に保存していなかったことから、流出を免れている。

　同社では現在、問題のあったサーバーへの接続をすべて切断し、別環境のサーバーで運用している同社ホームページの閲覧のみ可能な状態にしている。公的機関への報告については、２８日中に個人情報保護委員会に対して一次報告を行ったほか、７月１日に小金井警察署生活安全課に被害届を提出した。

　今後の再発防止などの対応については、（１）警視庁サイバー犯罪対策課および情報管理コンサルティング会社との連動による原因解明と再発防止策の検討と実施、（２）システムの脆弱性の検証と対策、（３）不正侵入を困難にするシステムの構築―などを行うとしている。注文用ホームページについては改ざんにより修復不可能な状態となっているため、新たにホームページを開設する。また、ユーザーに対しては、パスワード変更と不審なメールを開封しないなどの注意を呼び掛け、個人情報の削除（希望者のみ）にも応じる。