分離帳戶投資是詐騙嗎?
平素承蒙您格外關照,在此致以誠摯的謝意。
此次,針對本公司運營的雲端服務「CloudSync Pro」於2024年7月28日至8月2日期間發生的因非法入侵導致的個人信息泄露事件,本公司向相關各方及使用服務的客戶致以最深切的歉意,並將調查結果及今後的改善措施彙報如下:
一、事件概要與原因查明
泄露信息:
客戶姓名、電子郵件地址:共計12,847筆
電話號碼:8,923筆
信用卡號碼(僅後四位):1,234筆
※密碼、信用卡有效期及安全碼未遭泄露。
原因:經查明,因本公司開發環境的API密鑰管理不善,致使第三方發起的密碼猜測攻擊監控與攔截系統失效,且部分伺服器訪問日誌的加密措施不足。
二、遵守法令與向監管機構報告
事件發生後,本公司立即採取以下措施:
向個人信息保護委員會報告:於2024年8月5日,依據個人信息保護法第26條完成重大個人信息泄露報告
向警方通報:因涉嫌違反非法入侵禁止法,於8月6日向警視廳網路犯罪對策課提交受害申告
向關東財務局報告:於8月7日,依據金融商品交易法完成重要事實報告(面向使用金融服務的客戶)
三、對受害客戶的應對措施
個別通知:已於今日向所有疑似信息泄露的客戶發送個別電子郵件通知
免費安全防護服務:
向所有受影響客戶免費提供信用卡非法使用保險(1年期,最高保額500萬日元等值)
免費提供ID與密碼監控服務(2年期)
專用諮詢窗口:提供全年無休的24小時個別應對服務
四、防止事件再次發生的根本性改善措施
本公司將自即日起立即實施以下措施:
強化技術安全措施:
於8月底前,將所有系統的多因素認證(MFA)設為必須
引入HashiCorp Vault進行API密鑰管理(預計9月中旬完成)
引入全訪問日誌的實時監控與AI異常檢測系統
強化組織應對能力:
新設信息安全監查委員會(包含2名外部專家)
於8月20日新任命網路安全專家(CISO)
規定全體員工每年必須參加2次信息安全培訓
接受第三方評估:
已申請信息處理推進機構(IPA)的免費診斷服務
預計於9月接受IPA安全監查員的第三方監查
五、經營責任與今後態度
本事件確實是由本公司安全意識薄弱及管理體制不健全所引發,屬於經營責任範疇。
作為代表董事,我山田太郎深感責任重大。暫定將削減本人30%的薪酬,用於支付受害應對費用及防止事件再次發生的投資。
本公司將採取一切現階段可行的措施,以恢復客戶信任,並持續提供透明的信息披露。
六、致歉與請求
對於給客戶帶來的不便與擔憂,本公司致以最深切的歉意。
今後,本公司將進一步加強安全防護措施,全力以赴恢復信任。衷心希望得到您的理解與協助。
特此嚴正聲明。