ベクター、不正アクセスで窃取されたカード情報は463件との最終調査報告

　株式会社ベクターは24日、3月に発生した同社サーバーに対する不正アクセスについての最終調査報告を発表した。当初の発表では、不正アクセスを受けたサーバーに蓄積されていた個人情報の件数に基づき、流出した恐れがある個人情報の件数について最大26万1161件としていたが、調査の結果、窃取されたのは463件のクレジットカード情報と判断している。

　調査は、社内で組織した事故対策委員会が、外部調査機関である株式会社ラックおよびベライゾンジャパン合同会社の協力のもとで実施したもの。

　これによると、外部からベクターのシステムに侵入し、決済システムのプログラムが改ざんされたことが確認されたという。この改ざんプログラムを経由して、3月20日から22日にかけて、463件のクレジットカード情報が窃取されたと判断することが妥当と考えられるとしている。

　なお、窃取されたクレジットカード情報は、いずれもベクターのPC向けオンラインゲームの利用者のもので、カード番号、セキュリティコード、カード名義、有効期限が含まれる。一方、ベクターのソフトウェア販売サービスの利用者やモバイルゲームの利用者のクレジットカード情報は含まれていないとしている。該当するクレジットカードの所有者には、7月19日付で連絡した。

　調査ではこのほかにも、ベクターが運営するPC向けオンラインゲームポータル「GAMESPACE 24」のID・パスワードの一部も流出した疑いがあることが判明した。実際の被害の発生は確認されていないとしているが、6月に同ポータルのID・パスワードシステムを改定するとともに全ユーザーのパスワード変更を行った。さらに7月からはワンタイムパスワードを導入し、新規ゲームタイトルから順次対応する。

　報告では、これら463件のクレジットカード情報とGAMESPACE 24のID・パスワードを挙げた上で、「以上が、調査の結果判明した窃取された個人情報、および流出の嫌疑のある個人情報のすべて」だとし、「上記以外の窃取および流出の事実はないものと判断」している。

　不正アクセスの発覚後、ベクターではすでにセキュリティ対策の強化を実施しているという。具体的には、ファイアウォールの設定強化などアクセス権限の強化、個人情報の削減および暗号化、通信を常時モニタリングする専用機器の設置および異常アクセスの検知・遮断、システムの再構築（マルウェアが発見されたサーバーに関して、ハードディスクの入れ替えおよびシステムの再インストール）、ID・パスワードシステムの強化（GAMESPACE 24）、クレジット業界のセキュリティ基準「PCIDSS」の取得、クレジットカード決済の再開にあたってカード情報をベクター内で保持しないシステムへの変更（決済専門会社を利用）――を挙げている。

　さらに今後、ネットワーク構成全体の見直し、アクセス権限のさらなる厳格化、サーバー／クライアントPCの設置・運用・廃棄管理の厳格化――を計画している。

　ベクターが24日に発表した2013年3月期第1四半期（2012年4～6月）の非連結決算では、今回の不正アクセスの影響が出ている。クレジットカードの取り扱い中止などによる営業活動の自粛や信用低下による顧客離れが進んだとしており、その結果、売上高は5億6700円と前年同期比45.8％減となった。営業損益は9000万円の赤字（前年同期は9000万円の黒字）、経常損益は8800万円の赤字（同9300万円の黒字）、四半期純損益は1億1600万円の赤字（同5100万円の黒字）。