カゴヤに不正アクセス、過去の全ユーザー4万8685人分の個人情報が流出した可能性、カード情報2万809件を含む

　レンタルサーバー事業を手がけるカゴヤ・ジャパン株式会社は9日、ユーザーの契約情報を格納したデータベースサーバーに不正アクセスがあり、2万809件のクレジットカード情報を含む4万8685人分の個人情報が流出した可能性があると発表した。9月21日までに同社を利用したすべてのユーザーが対象で、解約済みユーザーも含まれる。流出した可能性がある情報は、氏名、住所、電話番号、メールアドレスのほか、契約アカウント番号とそのパスワード、クレジットカード番号とその有効期限。

　不正アクセスは、ユーザー情報を格納したデータベースサーバーにおけるOSコマンドインジェクションの脆弱性を突いたもので、脆弱性は2015年4月1日から2016年9月21日の間に存在していたという。

　発覚したのは9月16日で、社内調査により、複数ユーザーのサーバーにプログラムファイルがアップロードされていることが分かった。その後の調査で、第三者がデータベースサーバーへ不正侵入した形跡と、パスワードが流出した可能性があることを確認した。同社ではパスワードを変更の上、個別に案内を進めるとともに、並行して外部の調査会社に調査を依頼。その結果、10月24日に個人情報が流出した疑いが確定したという。

　対象となるユーザーには、メールや郵送で、お詫びと注意喚起を案内。身に覚えのないクレジットカード利用履歴の確認を依頼しているという。また、専用の特設電話窓口（0120-102-291）を設置し、受付時間を延長するほか、土日にも対応を行う。さらに、流出した可能性のあるクレジットカード情報について、カード会社に不正利用モニタリングの実施を依頼した。関係官庁や警察への報告も行ったとのことだ。

　再発防止のため、不正アクセスのあったカード情報を削除し、セキュリティ基準ACIDSに準拠する決済代行会社に決済業務を委託。また、不正ファイル設置を防止するため監視を強化しているという。

　今後は個人情報管理に対する意識の徹底と個人情報保護マネジメントシステム（PMS）実施の的確化、情報セキュリティ管理体制および情報セキュリティインフラの整備と強化を行う。また、ネットワーク上のふるまい検知など、新技術を利用した不正侵入対策の導入も検討するとしている。