象印 ZOJIRUSHI

個人情報流出についての重要なお知らせ

2020年2月3日
象印マホービン株式会社
代表取締役社長 市川 典男

【重要】個人情報流出についてのお知らせ(象印でショッピング)  第三者調査機関による調査結果のご報告と今後の対応について

弊社グループ会社(象印ユーサービス株式会社)が運営する部品・消耗品販売サイト「象印でショッピング」におきまして、第三者による不正アクセスを受け、当該サイト内でお客様の個人情報が流出した件(以下「本件」といいます。)につきまして、2019年12月5日から2020年1月16日(追記)にかけて、弊社公式ホームページにてご報告させていただきました。

この度、第三者調査機関による調査が完了しましたので、改めてこれまでの経緯ならびに再発防止策等につきましてご報告申し上げます。

この度は、お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げますとともに、今後、再発防止策の確実かつ速やかな実施に全力を尽くしてまいります。

1.経緯

2019年12月4日19時09分に一部のお客様より、弊社キャンペーンに乗じた不審なメールが届いているとのお問い合わせを受け、内部調査の結果、第三者による不正アクセスならびに、個人情報が漏洩していることが発覚し、弊社グループ会社が運営する「象印でショッピング」を同日20時50分に停止いたしました。

翌12月5日、弊社内に対策本部を設置し、本件に関する被害拡大防止措置を実施のうえ、お客様宛てに、「弊社グループ会社が運営する「象印でショッピング」への不正アクセスによる個人情報流出に関するお詫びとお知らせ」と題する本件に関する第一報をご報告させていただくとともに、電子メール等を通じてお客様に対するご通知をさせていただきました。

その後、弊社において、順次、第三者調査機関への調査依頼、弁護士への相談、個人情報保護委員会への報告、大阪府警サイバー犯罪相談窓口への連絡と相談、大阪府警天満警察署への情報提供及び捜査要請を進めてまいりました。この間、「象印マホービンを装った偽装メールにご注意ください」と題する、弊社を装ってお客様のクレジットカード情報を入力させようとする偽装メールの手口についての注意喚起を行ってまいりました。

この度、第三者調査機関による調査結果を受け、弊社および弊社グループ会社における再発防止策および今後の方針がまとまりましたので、改めてご報告させていただく次第です。

2.状況

(1) 「象印でショッピング」への第三者による不正アクセス
  1. ① 原因
    「象印でショッピング」システム(以下「本システム」といいます。)の一部の脆弱性を突いたことによる第三者の不正アクセス(以下「本不正アクセス」といいます。)により、個人情報の抜き出しが行われておりました。
  2. ② 本不正アクセスによるお客様の個人情報流出の概要
    (a) 流出した可能性のある個人情報件数: 最大 270,589件 (2015年2月18日以降ご購入のお客様)
    ※第三者調査機関による調査の結果、実際の個人情報流出件数は、より少ない可能性もあるものの、特定不可能であるため、本不正アクセスを受けたデータベース内の全データを最大件数としてご報告しております。
    (b) 流出した可能性のある個人情報
    「象印でショッピング」にてご購入をされていたお客様の情報
    <必須入力情報>
    お客様名、住所、注文内容(商品、金額等)、配送先情報、メールアドレス、電話番号
    <任意入力情報>
    生年月日、性別
    ※本不正アクセスを受けたデータベース内においてお客様のクレジットカード情報を保持しておらず、本不正アクセスにより流出した可能性のある個人情報に、お客様のクレジットカード情報は含まれておりません。
(2) 偽装メールによるクレジットカード情報を入力させようとする偽装サイトへの誘導
  1. ① 原因
    2019年12月4日および2019年12月15日に、以下のような件名の、弊社を装った偽装メールが、本不正アクセスにより流出したお客様のメールアドレス宛てに送信されました。当該偽装メール内においては、弊社を装ってお客様のクレジットカード情報を入力させようとする偽装サイトへのリンクが添付されており、当該偽装サイトにアクセスし、クレジットカード情報を入力されたお客様については、お客様のクレジットカード情報が窃取された可能性がございます。
    メール件名:
    「〇〇〇〇(お客様のお名前) おめでとうございます!オリジナルQUOカード キャンペーン実施中!」
    送信元アドレス:shopmaster@zojirushi.co.jp   ※本メールアドレスは現在使用しておりません。
  2. ② 偽装サイトへのクレジットカード情報の入力によるお客様の個人情報窃取の概要
    (a) 窃取された可能性のある個人情報件数
    2019年12月4日の偽装メールに関連するもの: 最大 延べ734件
    以降の偽装メールに関連するもの: 不明(情報を入力されたお客様数)
    ※2019年12月5日の本件に関する第一報のご報告以降、随時、偽装メールについての注意喚起を行っておりますが、本日までの期間においても、他社通販サイトを装った偽装メールがお客様に送付される事例が発生しており、今後も同様の手口による偽装メールが配信される可能性がございます。お客様におかれましては、弊社ウェブサイトの「個人情報流出についての重要なお知らせ」ページの内容もご確認いただき、十分ご注意いただきますよう重ねてお願い申し上げます。
    (b)窃取された可能性のある個人情報
    クレジットカード情報
    • カード名義人名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード

    (これら4つの情報を以下「カード情報」といいます)

    その他情報
    • 偽装サイトでお客様が入力されたパスワード

3.お客様へのご報告

不正アクセスにより個人情報を窃取された可能性のある全てのお客様に対して、お詫びとお知らせならびに注意喚起のご連絡を実施しました。

①公式ホームページ

2019年12月 5日【重要】個人情報流出についてのお知らせ(象印でショッピング)

2019年12月 6日 同更新

2019年12月 9日 同更新

2019年12月16日 同更新

2019年12月16日【重要】象印マホービンを装った偽装メールにご注意ください

2019年12月18日 同更新

2020年 1月16日【重要】偽装メールにご注意ください

②電子メールによるご連絡(対象のお客様)

2019年12月 6日~ 8日【重要】個人情報流出についてのお知らせ(象印でショッピング)

2019年12月18日~19日【重要】象印マホービンを装った偽装メールにご注意ください

2020年 1月16日~17日【重要】他社通販サイトを装った偽装メールにご注意ください

③郵送によるご連絡(※電子メールにて不達のお客様)

2019年12月24日発送【重要】個人情報流出についてのお知らせ(象印でショッピング)

4.関係先への報告

弊社は、本件につきまして、関係先に対して以下のとおり報告を行いました。

  1. ①個人情報保護委員会に対しての報告
  2. ②警察当局に対しての連絡と被害届提出に向けた相談
    • 大阪府警サイバー犯罪相談窓口へ連絡と相談を実施
    • 大阪府警天満警察署への本件に係る情報提供及び捜査要請を実施
  3. ③クレジットカード会社に第三者調査機関の調査結果を報告

5.お客様へのお願い

お客様におかれましては、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認ください。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、お願い申し上げます。

また、偽装された決済入力情報画面においてパスワードを入力された方は、メールアドレスと当該パスワードの組み合わせで他のサービスにログインされ悪用される恐れがございますので、パスワードの変更を併せてお願い申し上げます。

前述しましたとおり、今後も同様の手口による、偽装メールが配信される可能性がございます。
大変申し訳ありませんが、お客様におかれましては、引き続き十分ご注意いただきますよう重ねてお願い申し上げます。

6.再発防止策ならびに情報セキュリティ強化の取り組み

弊社は今回の事態を厳粛に受け止め、第三者調査機関の調査結果を踏まえて、システムのセキュリティ対策および監視体制を強化し、再発防止を図ってまいります。
また、情報セキュリティ体制面においても強化に取り組んでまいります。

以下に主な取り組み内容をご報告いたします。

【システム面におけるセキュリティ対策】
  • 異常を検知する監視機能の強化2019年12月25日完了
  • システムや情報へのアクセス制御の厳格化、ID・PWの管理強化2019年12月25日完了
  • 不正プログラム感染防止対策の実施2019年12月26日完了
  • 全公開サイトの証明書強化(EV-SSL化)2020年 1月31日完了
  • 通信ネットワークの保護強化(構成見直し・侵入検知等)2020年 2月中旬完了予定
  • 改ざん検知・監視機能の強化2020年 2月末日完了予定
【情報セキュリティ体制の強化策】
  • 情報セキュリティ定着に向けた公的認証(ISMS)の取得を予定

7.運営するサイトの再開について

現在閉鎖中の「象印でショッピング」サイトについては、万全なセキュリティ対策を施すための刷新作業に取り組んでおり、対策完了後できるだけ早期に再開できるよう努めてまいります。サービス再開日については、弊社公式ホームページにて改めてご連絡いたします。ご不便をお掛けし申し訳ありませんが、今しばらくお待ちいただきたくお願い申し上げます。

8.本件に関するお問い合わせ窓口

≪ 象印マホービン株式会社 個人情報流出専用窓口 ≫
  • 受付時間:2020年2月12日(水)まで  9:00~19:00(日・祝日除く)
  • 受付時間:2020年2月13日(木)以降  9:00~17:00(土・日・祝日除く)
  • 電話番号:専用フリーダイヤル 0120-120-450
  • お問い合わせフォーム:https://form.zojirushi.co.jp/goiken
  • ※これまでメールでのご相談が集中し、返事が遅れてご迷惑をおかけしております。

      ご返事にお時間を頂く場合がございますので、ご了承願います。

9.最後に

この度は、お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

繰り返しとなりますが、弊社として今回の事態を厳粛に受け止め、対策を継続してまいります。
また、最終報告が第三者調査機関による調査を経た後のご報告となり、公表までお時間がかかりましたことを、深くお詫び申し上げます。