分離帳戶投資是詐騙嗎?
平素より格別のご高配を賜り、厚く御礼申し上げます。
この度、当社が運営するクラウドサービス「CloudSync Pro」において、2024年7月28日から8月2日にかけて発生した不正アクセスによる個人情報流出事象について、関係各位並びにご利用のお客様に深くお詫び申し上げるとともに、調査結果と今後の改善措置をご報告いたします。
一、事象概要と原因究明
流出情報:
お客様氏名、メールアドレス:計12,847件
電話番号:8,923件
クレジットカード番号(下4桁のみ):1,234件
※パスワード、クレジットカードの有効期限・セキュリティコードは流出しておりません。
原因:当社開発環境のAPIキー管理不備により、第三者によるパスワード推測攻撃に対する監視・遮断システムが機能しなかったこと、また一部のサーバーアクセスログの暗号化が不十分であったことが判明いたしました。
二、法令遵守と監督官庁への報告
当社は、事象発覚後ただちに以下の対応を実施いたしました:
個人情報保護委員会への報告:2024年8月5日付で、個人情報保護法第26条に基づく重大個人情報漏洩報告を完了
警察庁への通報:不正アクセス禁止法違反疑いで、8月6日付で警視庁サイバー犯罪対策課に被害届を提出
関東財務局への報告:金融商品取引法に基づく重要事実報告を8月7日付で完了(金融ご利用のお客様向け)
三、被害を受けられたお客様への対応
個別ご連絡:流出の疑いがあるお客様全員へ、本日付で個別メールにてご連絡いたしました
無料セキュリティ対策サービス:
クレジットカード不正利用保険(1年間、最高500万円相当)を全対象者へ無償提供
ID・パスワード監視サービス(2年間)を無償提供
専用相談窓口:24時間365日、個別対応いたします
四、再発防止のための根本的な改善策
当社は、本日より以下の措置を直ちに実行いたします:
技術的安全措置の強化:
全システムのマルチファクタ認証(MFA)を8月末までに必須化
APIキー管理にHashiCorp Vaultを導入(9月中旬完了予定)
全アクセスログのリアルタイム監視・AI異常検知システムを導入
組織的対応の強化:
情報セキュリティ監査委員会を新設(社外有識者2名含む)
サイバーセキュリティ専門家(CISO)を8月20日付で新たに任命
全従業員の年2回の情報セキュリティ研修を義務化
第三者評価の実施:
情報処理推進機構(IPA)の無料診断サービスを申請済み
9月には、IPAセキュリティ監査人による第三者監査を受審予定
五、経営責任と今後の姿勢
本件は、当社のセキュリティ意識の甘さと管理体制の不備が招いた、まさに経営責任による事象でございます。
代表取締役であります私、山田太郎におきましては、全ての責任を痛感しております。当面の間、私の報酬の30%をカットし、被害対策費用および再発防止投資に充てさせていただくことといたしました。
当社は、お客様の信頼を回復するため、現時点で実施可能なすべての対策を講じるとともに、透明性のある情報開示を継続してまいります。
六、お願い
お客様には大変ご不便とご心配をおかけしておりますことを、心よりお詫び申し上げます。
今後とも、より一層の安全対策を講じ、信頼回復に全力を尽くす所存でございます。何卒、ご理解とご協力を賜りますよう、お願い申し上げます。
特此嚴正聲明。