つなワタリ@捨て身の「プロ無謀家」(@27watari)です。
気になった謝罪文の実例を収集してアーカイブしている記事です。謝罪するようなことが起きないことに越したことはありませんが、もしご自身や仲間に何かが起きた時に参考にしていただければ。
【目次】本記事の内容
ディスクユニオン自社ECサイトで約70万件の個人情報漏洩か
6月29日、CDやレコード販売で知られるディスクユニオンが同社ECサイトの登録者情報が漏洩した可能性があると発表しました。その数は最大約70万件! かなりの規模の漏洩ですが、意外にも反響は少なかったような気がします。その理由なども含めて紹介します。
謝罪文はこちらです。6月29日の発表後もFAQ補足を加える形で更新されています。
「弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告」2022年6月30日 12:15更新
https://diskunion.net/tote/
魚拓URL:https://archive.ph/yIHaj
念のために文字を残しておきます。
弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告
この度、弊社が運営するオンラインショップ「diskunion.net」ならびに「audiounion.jp」において、登録されているお客様の個人情報が外部へ漏えいした可能性があることが判明いたしました。
現在、漏えいの経緯と原因について関係機関と連携し、調査を行っております。
お客様ならびに関係者の皆様に多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
〇漏えいの可能性が確認された個人情報
対象: 弊社オンラインショップ「diskunion.net」ならびに「audiounion.jp」にご登録されたお客様
項目: 氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号
件数: 最大約701,000件
※なお、弊社オンラインショップにおける決済は全て外部委託しておりますので、クレジットカード情報を保有しておりません。そのため、クレジットカード情報については漏えいの可能性はございません。
〇経緯および対応について
6月24日(金)
第三者からの情報提供により、社内調査を実施したところ当社オンラインショップに登録されたお客様の個人情報が漏えいしている可能性があることを確認。
更なる漏えいを防ぐため同日23時にオンラインショップを停止。
6月25日(土)
午前に社内緊急対策チームを発足。外部調査機関への依頼を実施。
6月27日(月)
個人情報保護委員会へ報告。
6月28日(火)
所轄警察へ被害報告。
〇お客様へのお願い
他社サイト・サービスへの不正ログインを防止するため、弊社オンラインショップへ登録されたEメールアドレス・パスワードと同様の組み合わせで登録されているWEBサービス等につきましては、第三者が容易に推測できないパスワードへの変更をお願いいたします。
該当のお客様へは本日以降、すみやかにメールにて個別にご案内を実施して参ります。
個人情報漏えいの発生経緯や原因につきましても、外部機関の協力のもと調査完了次第、詳細を弊社ホームページにて、ご報告させていただきます。
弊社オンラインショップにつきましては、漏えい発生の原因が判明し、再発防止対策の実施が完了し、安全が確認されるまでの期間は停止とさせていただきます。
6月24日の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、情報の収集と把握に時間を要しました。
本日の公表までお時間を要しましたこと、重ねてお詫び申し上げます。
2022年6月29日
株式会社ディスクユニオン
本件に関するお問い合わせ窓口
〇フリーダイヤル:0120-84-0220
受付時間 午前10時~午後7時(土日祝日含む)
〇お問い合わせフォーム :
https://33c27df1.form.kintoneapp.com/public/c767390e7abd7eaa8cbb466893de3986bdbee17928d90dfb386628d11052550c
FAQ
Q1. 自分が情報漏えいの対象になっているのか教えて欲しい。
A1. 弊社オンラインショップにご登録されたお客様については対象となっている可能性がございます。流出対象となっているお客様については、ご登録されているEmailアドレスへお知らせメールを順次送信しておりますのでご確認をお願いいたします。(6/30更新)
Q2. 私の個人情報を削除して欲しい。
A2. 恐れ入りますがEメールにて info@diskunion.co.jp 宛に、ご連絡先(電話番号)・お名前・メールアドレスをご連絡いただき、個人情報削除を希望される旨をお知らせください。
Q3. クレジットカード情報も漏えいしていますか?
A3. 弊社オンラインショップにおける決済は全て外部委託しておりますので、クレジットカード情報を保有しておらず、クレジットカード情報漏えいの可能性はございません。
Q4. サイト停止前に注文している商品は届きますか?
A4. すでにご注文頂いている分はすべて注文が通っております。商品が揃い次第順次出荷させていただきます。
Q5. 買取での利用情報も流出の対象になっていますか?
A5. 売買履歴、ご本人様確認証(運転免許証、保険証など)、生年月日、金融機関口座情報 の流出は確認出来ておりません。オンラインユーザー登録がなく買取のみご利用の方に関しては、漏えいは確認されておりません。
Q6. パスワードを変更したい、登録していたパスワードを知りたい
A6. 二次被害を防ぐ観点からお客様にご登録いただいていたパスワードを6月25日に無効化(データベースから抹消)しております。
パスワードの変更については、サイト再開時にご登録アドレスへパスワード再設定のご案内メールをいたします。そちらのメールをお待ちいただけますようお願い申し上げます。
弊社オンラインショップへ登録された「Eメールアドレス」及び「パスワード」と同様の組み合わせで登録されている他社のWEBサービスやログイン情報等につきまして、第三者が容易に推測できないパスワードへの変更(再設定)をお願いいたします。(6/30更新)
ネットでの反応は思った以上に冷ややか!? 理由は大きく2つあった
今回の約70万件の漏洩は大きな問題になっていないようです。
ネットでは「急にスパムが増えたけど、このせいだったか」「サイトの閉鎖はこれが理由だったのね。」「登録したの10年以上も前だわ」「詐欺メールがフルコースで来るようになったわ 」などといった声が目立ちましたが、激怒しているような人は少ない印象を受けました。理由はかなり古いデータも含めての漏洩だったこともあるでしょう。
もはやCDやレコードの時代ではありませんし、反応が冷ややかなのは当然とも言えるでしょう。そもそもCDやレコードを購入するような年代はこういったトラブルに寛容なのかもしれませんね。
さて、もうひとつ冷ややかな理由は、パスワードを平文で保存していたことがバレたからです。これは冷めます。企業の危機管理としては論外です。あまりにバカすぎて呆れてしまった人も多かったような気がします。
・ ・ ・
ちなみにパスワードを平文のまま保存するリスクについて簡単に説明しておきます。
パスワードを平文で保存するとはどういうことなのか?
平文とはプレーンテキストと呼ばれるもので、暗号化されていないデータのことです。
マトモな企業であれば、パスワードを平文のままで保存することはありません。暗号化やハッシュ化を行い、不正取得されても内容が分からないように処理を施しています。
「メールアドレスとパスワードを使いまわしてはいけない」という話を聞いたことがあると思います。今回のようにデータが漏洩した場合、他のECサイトなどに不正ログインし放題という二次被害が発生する可能性も出てきます。
パスワードの平文保存で消滅した「宅ふぁいる便」
2020年3月末をもってファイル送信サービスの「宅ふぁいる便」が消滅しました。引き金となったのは2019年1月25日に発生した約480万件の個人情報漏洩事故です。利用者のメールアドレスとパスワードが平文のまま流出してしまい、サービスを停止。結局は復活できずに消滅となったわけです。
その辺の詳細は「日経クロステック」に詳しく紹介されています。
宅ふぁいる便から流出した情報は平文のため、入手した犯罪者がリスト型攻撃を試み、ネット通販やポイント管理など別のWebサービスに不正ログインされる恐れがある。利用者が宅ふぁいる便に設定したのと同じメールアドレスとパスワードを使っていたら、簡単にログインされてしまう。オージス総研はWebサイトの告知ページや該当者へのメールを通じ、同じパスワードを使っているWebサービスのパスワード変更を呼び掛けた。
引用:宅ふぁいる便の平文パスワード480万件流出事件、1カ月たってもサービス再開できず(日経クロステック/2019.03.01)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/022600026/
魚拓URL:https://archive.ph/gH8Pp
ツイッターは3.3億人分のパスワードを平文で保存!?
じつはツイッターが.3億人分のパスワードを平文で保存されていたと発表したこともあります。これは2018年のことです。ツイッターはではユーザーがパスワードを入力する際、「bcrypt」という強力なアルゴリズムを使ってハッシュ化しているのですが、バグによってにログにプレーンテキストで保存されていたそうです。情報漏洩はしていませんでしたが、それなりに話題になりました。
ジャック・ドーシー最高経営責任者(CEO)はツイッターで、「この内部の欠陥に関しオープンな姿勢を取ること」が重要だと説明。パラグ・アグラワル最高技術責任者(CTO)は今回の件について謝罪した。
引用:ツイッター、3.3億人にパスワード変更呼び掛け(CNN/2018.05.04 Fri posted at 10:56 JST)
https://www.cnn.co.jp/tech/35118679.html
魚拓URL:https://archive.ph/MybZa
・ ・ ・
今回の情報漏洩でディスクユニオンがどうのようにリカバリーして盛り返していくのでしょうか。ゆるりと見守っていこうと思います。
では!
気になった謝罪文を収集しています。謝るようなことが起こらないにこしたことはありませんが、何かの時のために参考にしてください。
wordpressやるなら
エックスサーバーがオススメ!
このサイトはスタート時より「wordpress × エックスサーバー」によって運営しております。他のサーバーとも契約をして別サイトを構築しておりますが、エックスサーバーの使い勝手がイチバンです。セキュリティ、サポートに満足しております。しかも低コストです。利用者が多いので情報がネットに多いことも助かります。
詳細は下記ボタンより
【重要なお知らせ】メルカリ事務局からのお知らせご利用確認のお願い(メルカリを装い、確認していただけない埸合は、アカウントが停止されると驚かす詐欺メール) | 迷惑メール1924
【ランナーが梅田商店街を集団暴走】サポートするミズノの謝罪がマヌケ | 謝罪文 実例154
【若新雄純が3股発覚】全活動を休止・教員退任で謝罪 | 謝罪文 実例153
