Security Incident
番組でお知らせいたしました通り、第三者による不正アクセス被害を受けたため、当サイトは6月29日から現在まで閉鎖しておりました。
再開にあたり、皆さまに安心してご利用いただけるようセキュリティ対策を刷新いたしましたので、以下お知らせいたします。
1. 経緯
6月29日午前9時頃、配送代行業者よりストアの注文情報にアクセスできない旨、連絡を受ける。調査の結果、午前6時半に第三者がウェブサイトに不正アクセスし、顧客情報のデータベースを削除したうえで「コピーが欲しければBitcoinで対価を支払え」という趣旨の脅迫メモを残していたことが発覚。
2. 被害への対応
ストアのサービスは即座に停止、ウェブサイト自体を閉鎖。データベースを保護し、セキュリティ証明書を全て更新。影響を受けたお客様には当日中にメールでご連絡し、ソーシャルメディアでプレスリリースを公開。
被害内容について、警視庁サイバー犯罪対策課および管轄の警察署に通報の上、個人情報保護委員会に報告。
被害の全容や原因を把握すべく、第三者機関にフォレンジック調査を依頼。その結果、何者かがブルートフォースアタックによってPHPMyAdmin経由でMySqlデータベースにアクセスし、顧客の個人情報(名前、住所、電話番号、メールアドレス)1,169件を削除していたことがわかりました。クレジットカードなどの決済情報は当該データベースに保管していなかったため被害はありませんでした。
3. セキュリティ対策について
サイト再開に向け最高水準のセキュリティを確保すべく、セキュリティ対策の専門家をチームに招き、3ヶ月かけてサイトの刷新を行いました。
サイトのコア部分を再構築し、サイト及びサーバーのセキュリティ証明書を全て強化した上で、業界最高水準のセキュリティサービスを持つサーバーに移行しました。またペネトレーションテストを繰り返し行い、効果を検証しました。今後、こうした検証を定期的に行って参ります。
ストア再開にあたって全てのお客様に新しくパスワードを設定いただき、その際、強度の要件を強化するほか、ログインにキャプチャを導入します。
みなさまに多大なるご迷惑およびご心配をおかけする事態となりましたこと、心よりお詫び申し上げます。
安心して物販サイトをご利用いただけるよう、可能な限り全てのセキュリティ対策を講じ、今後も定期的に見直していく所存です。何卒よろしくお願いいたします。
1. Details
On June 29th, at approximately 9am, we received a message from our distribution center reporting that they are unable to access the site. In our investigation, we determined that a hacker infiltrated the site, deleted the user database and left a message stating, “To recover your lost database and prevent leaking it, pay the required amount of bitcoin to get it back”.
2. Our Response
We took immediate action to contain the attack by closing the website, securing the the database, renewing all relevant credentials, contacting affected users, posting a statement to social media and contacting cybersecurity authorities, law enforcement and the personal information protection committee.
To the best of our knowledge, the attacker utilized a brute force attack to gain access to the MySql database via PHPMyAdmin. The breach may have compromised the data of 1,169 users including emails, names, usernames, phone numbers and addresses. The infiltrated database did not include any critical payment processing information.
3. Future Security
We have spent the last 3 months taking measures to ensure that our website and our users data is secured to the highest standard. We brought in a security specialist to advise our team and run sophisticated penetration tests using professional hacking tools in order to identify any potential vulnerabilities.
Following our assessment, we rebuilt the site core, strengthened all site and server credentials and migrated the site and databases to servers with industry-leading security services. We have since run penetration tests to validate our changes and will conduct routine security status evaluations going forward. Additionally, we will be requiring all new and returning users to create new passwords which meet a strong password standard as well as complete a simple captcha to log in.
We sincerely apologize for any inconvenience this may have caused. At this stage, we believe we have taken every measure available to us in ensuring the security of our users’ data going forward. Thank you so much for your understanding and support.
– Michael and Mami
Public tool for assessing the vulnerability of websites:
Mozilla Observatory