さくら観光(本社:福島県白河市)は17日、同社が運営する高速バス予約サイトが不正アクセスを受けて顧客情報が流出した件で、2次調査報告を発表した。流出件数は1次調査報告よりも多く、カード情報の流出件数は最終的に 5万3330件となった。
この事件は先月16日、クレジットカード会社から顧客カードが不正に使われた疑いがあるとの指摘を受けて発覚。セキュリティ専門会社による調査の結果、8月5日から11日の間、Webサーバーへ不正アクセスが行われた痕跡が確認され、顧客情報が流出した可能性があることがわかった。
9月1日に発表された1次報告では、情報漏えい全体件数は16万9595件で、このうちカード情報を含むものが5万2088件とされた。その後の調査で新たな流出が判明し、今回の2次報告では、情報漏えい全体件数は17万755件、このうちカード情報を含むものは5万3330件と発表された。これが最終調査報告の数字となる。
流出したのは、2005年10月11日~今年6月30日に、同社の旧システムで会員登録をした顧客の情報で、名前、フリガナ、ログインIDとパ スワード、メールアドレス、口座情報(銀行名、支店名、口座番号、種別、名義)、およびクレジットカード情報(番号、有効期限)。しかし、どの情報が流出したかは顧客によって異なる。同社は対象となる顧客に、メールと文書で、流出した項目が明確になるよう伝えるとしている。
すでにクレジットカードの不正使用が疑われる事例があることから、同社は不正アクセスが発生した8月5日以降に心当たりのない請求があればすみやかに当該クレジットカード会社に連絡するように呼びかけている。また、パスワードや暗証番号の変更をすすめている。
同社は、セキュリティ診断に基づくサーバーの改修およびWebアプリケーション診断に基づくプログラム改修を行い、脆弱性が存在しないことを確認した上で、今月4日から予約サイトを再開した。ただし、カード決済サービスは行っていない。
(2010/09/22 ネットセキュリティニュース)
■さくら観光のリリース
・9/17個人情報の流出について2次報告
http://www.489.fm/oshirase7.php
・2次報告詳細[PDF](2010/0917発表)
http://www.489.fm/20100917.pdf
・1次報告詳細[PDF](2010/0901発表)
http://www.489.fm/20100901.pdf
【関連記事:ネットセキュリティニュース】
・さくら観光、不正アクセス受けカード情報を含む顧客情報17万件流出のおそれ (2010/09/02)