caprinのミク廃更生日記

初音ミクやVocaloid、ゲームやアニメのニュースサイト

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (サウンドハウス)

個人情報 不正アクセス

http://www.soundhouse.co.jp/

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ

お客様各位
2008年4月18日
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ

この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、全力で取り組む所存です。今回の個人情報流出の対象となる、2007年1月1日〜2008年3月22日までに新規会員登録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂きたく提示し、お客様のご理解を頂きたく存じます。

※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象とさせていただきます。

1. この度の個人情報流出に関連して、万が一、お客様がカード不正利用などの直接被害を受け、カード会社、またその他の機関によって補償が受けられない場合には、弊社が責任を持って対処致します。

2. 個人情報流出の可能性がある122,884名全てのお客様に、サウンドハウスでご利用できる1,000円相当分のクレジットを進呈させて頂きます。本クレジットはお客様のサウンドハウス会員情報に既に反映されており、サウンドハウスでのお買い物代金に充当する形で、ご利用頂けます。尚、このクレジットは2009年4月末まで有効となります。

3. クレジットカードのご利用できず、そのポイントや、カードメリットを活用できない上、不便であるという声が多くのお客様より寄せられているため、商品ご購入の際、その合計代金の3%を、お客様の弊社ご登録口座にクレジットし、次回購入時にお使い頂けるリベートプログラムを4月30日まで実施致します。

尚、累積されたクレジットの合計は、4月20日前後より、弊社ホームページにて、ご注文時にご確認、ご利用頂けるよう、プログラムの変更を進めております。
また、今回の不正アクセスに伴う、お客様の個人情報流出に関して、時系列情報、関連情報、並びに会社代表として私自身が見聞きしたこと、感じたこと、そして反省点を、ありのままに書かせていただきました。ご一読頂ければ幸いです。

この度の件につきまして、重ねてお詫び申し上げますとともに、今後とも変わらぬお引き立てのほど、何卒よろしくお願い申し上げます。

○詳細:http://www.soundhouse.co.jp/news/20080418.pdf

                                                                                                                                                      • -

■本件に関するお問い合わせ特別電話窓口■
サウンドハウス お客様相談窓口
平日10時〜19時 土曜日12時〜17時
電話番号:0476-22-9333 メール:info@soundhouse.co.jp

                                                                                                                                                      • -


■関連リンク 「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた 不正アクセスの経緯と原因について詳細な報告書を公開 (Internet Watch)

http://internet.watch.impress.co.jp/cda/news/2008/04/18/19291.html


■関連リンク サウンドハウスの情報漏洩 (I, newbie ?)

http://trombik.mine.nu/~cherry/w/index.php/2008/04/19/1215/soundhouse-case-1

http://trombik.mine.nu/~cherry/w/index.php/2008/04/19/1217/soundhouse-case-2

http://trombik.mine.nu/~cherry/w/index.php/2008/04/19/1218/soundhouse-case-3

評価すべきなのはログを残していたこと。他に取るべきログもあったかもしれませんが、IISのログを数年にわたって残していたのは、原因の追求に大きく役立ちました。これがなければ、お決まりの曖昧なお詫びしかだせなかったでしょう。防止するためだけの対策以外にも重要な対策はあるという例です。

インシデント対応はどうだったか。2年間近く気づけなかったというのはあるにしても、発覚後からの対応が(サウンドハウスとして)遅かったようには見えません。まぁ、文面で手間取ったのはもどかしいというか残念な点です。情報がまったくないととても印象が悪くなりますから、「なんか事件が起きた」という告知だけでも出していれば、被害者の印象は大きく違ったでしょう。技術的な面でも、専門家のアドバイスにも従っていて、おかしな対応はしていない。もっと良い対応はいくらでもあげられますが、一般的には概ね十分な対応ができたといっていいと思います。

残念だったのは、クレジットカード会社、行政、セキュリティベンダに対する批判を報告書に入れてしまったこと。まっとうな批判もありますが、いくつかは知識不足による誤解です。これは、後日談として取材記事などで書くべきではなかったでしょうか。なかでもクレジットカード会社の対応は批判に値するのですが、それは経緯を読めば十分理解してもらえるでしょう。書きたい気持ちはよく伝わってきますが、この報告書にいれる必要はなかったように思えます。