つなワタリ@捨て身の「プロ無謀家」(@27watari)です。
気になった謝罪文の実例を収集してアーカイブしている記事です。謝罪するようなことが起きないことに越したことはありませんが、もしご自身や仲間に何かが起きた時に参考にしていただければ。
該当者はすぐにパカードを止めて! 不正アクセスでクレジットカード情報漏えい
ソースネクストは2月14日に、同社のウェブサイトが第三者による不正アクセスを受け、顧客のクレジットカード情報11万2132件、および個人情報12万982件が漏えいした可能性があることを発表しました。
今回の情報漏えいは、同社の運営するウェブサイトを構成するシステムの一部に存在した脆弱性を利用して第三者が不正アクセスし、ペイメントアプリケーションの改ざんが行われたことが原因であり、漏えいした可能性のあるクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、漏えいした可能性のある個人情報は、氏名、メールアドレス(パスワードの漏えいは確認されていない)、郵便番号(任意入力項目)、住所(任意入力項目)、電話番号(任意入力項目)であるとしている。
なお、情報漏えいの確認から今回の発表までに時間がかかった理由としては、不確定な情報の公開は混乱を招くため、顧客への迷惑を最小限に食い止めるための対応準備を整えてからの告知が不可欠であるとの判断から、調査会社の調査結果、およびカード会社との連携を待って発表に至ったという。
引用:ソースネクスト、不正アクセスによる個人情報漏えい、対象者には個別に連絡(BCN+R/2023/02/15 16:00)
https://www.bcnretail.com/market/detail/20230215_316271.html
魚拓URL:https://archive.md/PomCj
こういった情報漏えいの場合、情報は平文で盗まれたのか? 暗号化されていなかったのか? などが焦点になるわけですが、今回の場合はそれ以前に情報を抜かれていた可能性もありそうです。これはけっこうヤバいです。
該当する可能性のある人は、すぐにカードを止め、カード会社に確認してください。
この辺のに関してはソースネクストの経緯報告や謝罪文を見てもよくわかりません。何かを隠しているのではないかと疑ってしまうような内容です。
また、「2023年1月4日の漏えい懸念から今回の案内までに至るまで、時間を要しました」ことが重大です。1ヶ月以上の放置はあまりにも長過ぎます。「一部のお客様のクレジットカード情報が不正利用」というのも何人だったのでしょう。アバウトでも人数を出す必要があるような気がします。
では、ソースネクストの経緯報告や謝罪文はこちらです(画像を別画面で開くと拡大されます)。
引用:当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(ソースネクスト/2023年2月14日)
https://www.sourcenext.com/support/i/2023/0214_info/
魚拓URL:https://archive.md/yNTzu
念のため文章を残しておきます。
2023年2月14日
お客様各位
ソースネクスト株式会社
当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
記
1. 経緯
2023年1月4日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年1月5日、当サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年1月23日、調査機関による調査が完了し、2022年11月15日~2023年1月17日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2. 個人情報漏えい状況
(1)原因
弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2022年11月15日~2023年1月17日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様112,132名で、漏えいした可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(3)個人情報漏えいの可能性があるお客様
2022年11月15日~2023年1月17日の期間中に当サイトにおいて購入されたお客様120,982名で、漏えいした可能性のある情報は以下のとおりです。
・氏名
・メールアドレス(パスワードの漏えいはありません)
・郵便番号(任意入力項目)
・住所(任意入力項目)
・電話番号(任意入力項目)
上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
3. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4. 公表までに時間を要した経緯について
2023年1月4日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5. 再発防止策ならびにクレジットカード決済の再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図ってまいります。
改修後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年1月6日に、総務省関東総合通信局には2023年1月13日に報告済みであり、また、所轄警察署にも2023年1月10日被害申告しており、今後捜査にも全面的に協力してまいります。
6. 本件に関するお問い合わせ窓口
≪ソースネクスト お客様相談窓口≫
・受付時間:10:00~18:00(土・日・祝日も受付しております)
・電話番号:フリーダイヤル 0120-026-009
・メールによるお問い合わせフォーム:https://rd.snxt.jp/88814
本件に関しましてQ&Aページをご用意いたしました。(下記をクリックすると表示されます)
https://www.sourcenext.com/support/i/2023/0214_1/
以 上
では、今回のソースネクストでの個人情報が流出についてどのような声が多かったのでしょうか。ネットを確認してみます。
ソースネクストでの個人情報流出に対する声
今回の件に対する声を集めてみました。
<ソースネクストでの個人情報流出に対する声>
・安全なクレジットカードを利用している場合は普段と違う決済方法が発生した場合は不正取引として利用出来ない場合もありますが全ての決済で不正決済を排除出来る保証はありません。残念ながらこの期間中に同社を利用した方はパスワード変更等を実施しても意味がなく、クレジットカードの差し替えを検討しなければならない可能性があるかと思います
・過去にもあったクレジットカード情報搾取の手口であり、なぜに被害に及んでしまったかは今後追及されるところです。クレジット情報をクレジット会社に流し込むシステムが昨年11月15日に改ざんされて、金融会社に流し込むと同時に他所にその情報を横流しされたようです。ソースネクストが直接的な被害を受けるわけでなく、クレジット情報が漏えいすることによって、その所有者およびそのクレジット会社が被害を受けるのです。11月15日から1月17日までの間に利用した人の対策としては、そのクレジット情報を無効化するしかありません。10万人以上の人がクレジットカードを再発行するしかないのです。1月17日に発覚(ソースネクストが改ざんを発見)したようですが、即座に処置をしなかったことで、2月14日までの約一か月間でどれだけの被害が拡大したか気になるところです。公示が遅れた理由も必ずしも受け入れられるものではないでしょう
・普通の漏洩レベルでなく、何故放置したのか。今日、第3四半期決算発表日…。10万人以上がカードを再発行手続きを明日から行う。おそらく関係のないセキュリティソフト利用者からの問い合わせも加わると思うので混乱は予測出来る。セキュリティソフトを販売する資格があるのか疑問視されても仕方がない対応
・何もかも嫌になるニュース。約1か月もの時間かけて、入念に調べ対策を講じたのだろうけど、顧客よりも自社の安全・信用を第一にしていた感が拭えない。「ウィルスセキュリティ」を複数台使っていて、ユーザーとしては信用信頼ガタ落ち。もう使いたくない
・客からの問い合わせで発覚したのが1月4日、それから調査会社を入れて確定したのが1月23日。調査が確定するまで公表しないのは100歩譲ってわかるとしても、確定してから3週間も何してた?
・即座にクレジットカードを停止するしか手段はない。しかも、対象者はすでに被害に合っている可能性もある
・少なくとも情報を抜いた連中が、公表されるまでの間に空売りしてたのは想像に難くない。上場企業であれば即公表が必要では?
・どう考えたって、発表が遅いでしょう。今日、第3四半期決算発表日だから、漏えい発表遅らせたとし思えない。これから、毎日クレジットカードのチェックをしなければならない。最悪!
・個人情報保護法に違反しても罰則がないことが問題ですね。今までは個人情報保護法が立法されてから想定しないような流出を考慮して罰則を設けてきませんでしたが、ある程度個人情報流出の歴史があって想定できるようになってきたのでそろそろ罰則を設けないと、企業が故意に個人情報を抜いて強盗や特殊詐欺に使用されることも考えら得れるので、立法府には罰則を設けるように議論してほしいものです
・該当期間じゃないから大丈夫だと思いたいが発表が遅すぎるので本当に大丈夫なのか不信感しか無い。セキュリティコード付きのクレカ情報とか速攻で悪用されてるだろう。アプリ改ざんされて情報抜かれるとか最悪レベルの情報漏洩
・クレカの番号だけじゃなく有効年月とセキュリティコードまで流出?嘘だろ?登録してんだけど。メールが来てないって事は大丈夫なんだろうか
・録情報の漏洩と言うよりは、登録ページの改竄で期間内に入力された内容が漏れたという感じですね。昔から知ってる会社だけれどあのラインナップのソフト群で2カ月間で10万人も利用してたというのが、そっちの方が吃驚
・ハイ、被害者です。先月半ばにカード会社からの問い合わせを受けました。カード会社からは「正月前後に何処かでカードを使用されましたか?」とのことでしたが、当方は特に使用した記憶はなし。このやり取りでクレジットカードの不正使用が発覚。海外の通販サイトや出会い系サイトで不正使用されたようで、被害額は10万円程度。損害額についてはカード会社が支払うので、経済的被害はありませんでした。しかし、ソースネクストからは今日まで連絡の一つもありません。実害が出ているのにも関わらず、対応がお粗末すぎませんか?
・被害者として言わせてもらうなら「流出した可能性」じゃなくて「流出済み」。「不正利用された可能性」じゃなくて「不正利用済み」。元々、不正利用にカード会社が気付いて、ソースネクストに連絡が行ったのが発端。その時点で「流出」と「不正利用」は確定なんだがな…
・ソースネクストで買ったこともあり、ユーザー登録もクレジットカード登録もしていたから心配になり調べたが、登録してあったカードは対象期間直前に有効期限が切れていた。2022年11月15日~2023年1月17日って年賀状ソフトの更新とかでクレジットカードを登録する人、多かったのでは
・個人情報を流出させた企業に対する法的罰則をもっと強化すべきでは? 個人情報をネット環境上で取り扱う責任をもっと明確にすべき! いま政府はマイナカードの普及に躍起ですが、個人情報、口座番号情報の流出は時間の問題では? 誰がどのように責任とるのかな?
・今回は致命的だね。セキュリティソフトも販売している会社が漏洩を一か月も隠蔽したとかあり得ないでしょ。セキュリティに対する意識が低すぎる
・よりにもよってセキュリティソフトをだしている所がこれではまずいのでは? 発表の遅さも大丈夫かという感じ。自分自身も利用しているのでかなり不安。対象外なのか連絡が遅れているだけなのか
・なんか答え合わせできた感じ。外国の評価機関で、ひどい評価だったらしいし、無償のMicrosoft defenderの方が優秀
・昨年のうちに、ソースネクストで年賀状ソフトを更新したので、ぞっとしました。しかし調べてみると、早めに住所録管理に取り掛かった結果、アプリの更新は9月中に終えており、今度の事件には巻き込まれずに済んだようです。ソースネクストからは、セキュリティに関するメールがよく届きますが…まず自社の足元をしっかりして欲しいです
・半年程前、ソースネクストで購入した翌日に、クレジットカード会社から不正請求の可能性があるという連絡メールがきて、カードが一時停止になった事があります。偽メールかと思ったら、クレカの会社からは本物のメールでした。結局、結局不正請求の事実は無かったのですが、その時のオペレーターの話では、不正請求のパターンと同じ流れなので、システム上で、不正請求の可能性が高いとプログラムが判断して、カード使用停止処理になったようでした
・そもそも情報漏れさせたら被害者1件当たり1万円ぐらい払わせるくらいの法改正をして欲しい、今なら『すんませんでした』と謝られて被害者は泣き寝入りです
・発覚したのが1月4日ということなので一月以上かかっているというのはあまりに遅すぎる。お役所仕事じゃあるまいし一月以上かかるとかあるか?調査会社の調査が完了したのが1月23日ってことだけどそれから3週間も何してた?
・普段はキャッシュレス決済をする派だけど、以前よりソースネクストは一度登録したクレカ情報は上書き以外出来ず、自分のクレカ情報を消せないサイトだった。登録時、その様な不満がネット上で点在するのを確認したので、いちいち面倒と思ったが念の為に、このサイトだけはコンビニ決済を利用していた。最近さすがに面倒が過ぎるのでクレカ登録をしようかな、と思っていた矢先の出来事。コンビニ決済推奨をブログで書いてくれていた人には感謝しかない
・今の所個別の連絡は受け取ってないため、今回の事案の対象にはなってないようですが、このままでは企業自体を信用する事が出来ません
・今回の漏洩はクレジットカード情報、とくにカード裏面のセキュリティコードが持ち出されています。通販会社等のパスワードが漏れていないからと言われている方がおられるようですが、たとえば新たな偽ユーザーを通販等に登録して、その決済にセキュリティコードを含むカード情報を登録すれば、決済可能になります
・クレジットカード不正使用被害抑止の何よりの対策は流出したカードの持主への連絡と本人によるカード使用停止にもかかわらず、速やかな情報公開は「会社の決算発表」に悪影響を及ぼす為、決算発表日を過ぎてから発表したのが丸わかりですね
・当事者です。今日の夕方にソースネクストからメールが届き、このメールそのものが怪しメール?と思いネットニュースで見ると出ていました。即座にカード会社にTELしてカード停止し再発行手続きをしましたが、新しいカードが届くまでスマホ決済も出来ない、カードが使えない。カードが届けば各種継続支払いしているもののカード変更届出。暫くは本当に大変です。漏洩が発覚してから公表まで1ヶ月余り。遅いし、その内容も絵に描いたような典型的なダメ会社が書く内容。年賀状ソフトウェアの筆まめや筆王といった有名なソフトを作っている会社。さらにセキュリティソフトも作って販売している会社。こんな会社のソフトウェア買いますか? 呆れ返ります
・使った人は知っているし,ヤフーリアルタイムで投稿されていたが,年末の筆まめ認証に必要なソースネクストのホームページへのアクセスがまったくできなくなった。その復旧に1日以上相当時間がかかった。結局ソースネクストは全くアクセス不可能に触れずじまいだ。そのときはただアクセスにサーバーが耐えられなかったのかと思ったが,これを見て,もしかしたらそれは事件に関係があるのかもしれないと強く感じている
・ユーザーに被害はないことを保証してくれるのか?
・Webページ改竄で情報取得&流出ってことだろうけど、何で即時公表しなかったのかな?と思う。調査は公表と同時進行で進められるじゃない?
・当事者ですが、もう不正利用されていました。ソースネクストの発表なんて嘘だらけ
・流出が判明した時点で公表すべき。顧客をおざなりにしてポケトークと年末商戦に注力し過ぎだ。ソースネクストのCEOは米国在住のSEだが、そのせいでアメリカナイズしてしまったのか?
・oogleなども二重チェックが入ってセキュリティ強化はしているけど、決定打が欲しいね。昔は偽札が流行った国が、非現金化して、カード決済が普及した経緯があるけど、日本場合はお札の偽札ができなかったから、電子決済が普及しなかった経緯がある
・カード決済はネット(オンライン)との相性も良く、飛躍的にショッピングも物流のありようも変えたけど、利用者側も工夫を求められる厄介さも連れて来たのかも
・この事件を機にソースネクスト関連のものについてはすべて処分しようと思う
・以前ソースネクストの製品を購入してから、殆ど毎日、セールスメールが届いてます。因みに最近1週間くらい、知らない電話番号や非通知の電話がやたらと多くなりました。情報が流出したのであれば本人に真っ先に連絡してほしいです
・漏洩内容が、ひどすぎる。これでは、クレジットカードの使い放題ですね。安心して生活ができないレベルになってしまってます。私も該当するので大変です
・年末に向け、バージョンアップやらセール商品やらのポップアップが頻回にあったので対象期間中に3回も利用していました。今のところ履歴に異常はないようですが今朝あさイチでカード会社に連絡してカード番号の変更を依頼して現カードを停止しました
・要するにカード情報がフルで揃って10万件以上流出している。ここまで完璧な個人情報流出は稀。情報を得た容疑者は、当然なりすまし可能でPCだけでやりたい放題。もちろん盗んだ奴が一番悪いが、個人情報流出をすぐに発表せず、一か月以上放置したソースネクストの責任は大きい
・昨年11月下旬にソースネクストでカードを使って製品を購入。12月中旬に海外サイトで約14,000円の利用が4件。paypayカードの担当者から電話がありカードの不正利用が発覚。電話がなかったらもしかしたらそのまま引き落としされてしまったかも。まさか自分の身にも降りかかるなんて思っていませんでしたので、今回は勉強になりました
・セキュリティーソフトを出している会社が、これはないでしょう。しかも発表が遅い。ソフト使っているけど、乗り換えも検討すべきなのか
・実際に被害に遭いました。不正利用は1/26からで総額はとんでもないことになってます。おまけに今日、問い合わせの連絡入れたら「何かあったら警察かクレジット会社に」の一点張りで、ほぼ謝罪らしい謝罪も無く、当事者としての自覚無く誠意のカケラも責任感も感じなかった。残念ですがこういう時、会社の本質が見えますね
・2月14日深夜にクレジットカード会社に電話し、番号を変更の上再発行してもらいました。もちろん、再発行手数料はソースネクスト負担です。情報を知って、大元CISOアドバイザーのコメントを読み、とりあえずネットで一時利用停止した上での対応です。被害者の方は、ネットでクレジットカード会社の一時利用停止してから、電話で対応した方がよいですね
・情報流出のメールが来ましたので、先ほどカード会社に連絡してstop&再発行を依頼しました。カード紛失扱いで電話して、ソースネクスト流出でstopしたいと申し出たところ、カード会社の丁寧な対応で再発行手続きまで無料で行うことができました。9時-17時の一般電話問い合わせ窓口などを利用せず、早めに申請した方が良いですね
・内部関係者が金のために売ったということもありえるのでは? 真実を調べることは出来ないだろうが、可能性はかなり高いのでは?
・こう言うの見ちゃうとセキュリティをしっかりやっている企業でも起きるんだからマイナンバーカード申請に反対している人達の気持ちも分からなくはない。しかも政府のデジタル庁はまだ出来たばかりで信用できるセキュリティやスキルの有無が皆無状態ここだよね…不安なのは
・当日に第三四半期のIR出した直後のタイミングで、この発表は企業として好ましくない姿勢と思います。株価や業績への影響を懸念して発表を遅らせたと感じます
・1か月以上を隠蔽した上に、大変恐縮ではございますが、カード会社への問い合わせやカード交換に要したお時間等に対する補償は、弁償の対象外とさせていただいております。とコメントをよこす企業を許してよいものでしょうか?
・こんな会社、信用おけないから、いったん現在保有している会員情報、すべて削除しろよ
・ソースネクストってウィルス対策ソフトも扱ってなかったっけ。全部返品しないといけないんじゃないか?
・ニュースを見てカード登録を削除した
・これは完全に終わったな。会社の存続に関わる大失態
・カード番号が変わり使えるようになるまで他の決済ができずとんでもなく困ります
・12月にソースネクストでセキュリティソフトをダウンロード購入したあと翌1月から10万円以上の不正請求があり、カード再発行などの手続きなどなど大変な思いをしました
・流出が有っても『無くても』連絡が欲しいわ!
・ここまで致命的な情報流出は洒落にならない
・セキュリティソフト販売メーカーが、自らセキュリティ事故にあったという、今後語り継がれるであろう事例です
・会社畳んでほしい
・お粗末
・カネの問題だけじゃないんだよな。公共料金の引き落としとか各種定期的な支払いとか、カード番号が変わると手間と時間がメチャメチャ掛かるんだよ
・1月18日にソフトを購入して、カードで支払おうとしたらコンビニ後払いしかできないんで、おかしいと思っいたのです。逆に言えばその時にはわかってたんですね。それを今頃公表とは・・・こわい
・ ・ ・
とにかく該当する可能性がある人はカード会社に確認して再発行するのがベターでしょうね。手間がかかるし、手間だけではない問題が発生する方もいるでしょう。。。ソースネクストはどういう対応をするつもりでしょうか。
しらばっくれる可能性もありそうなので、徹底的に追求することも必要かもしれませんね。
では!
気になった謝罪文を収集しています。謝るようなことが起こらないにこしたことはありませんが、何かの時のために参考にしてください。
wordpressやるなら
エックスサーバーがオススメ!
このサイトはスタート時より「wordpress × エックスサーバー」によって運営しております。他のサーバーとも契約をして別サイトを構築しておりますが、エックスサーバーの使い勝手がイチバンです。セキュリティ、サポートに満足しております。しかも低コストです。利用者が多いので情報がネットに多いことも助かります。
詳細は下記ボタンより