ベクターは、2012年3月22日に発生した同社への不正アクセスに関する調査が終了したとして、最終報告の内容を公開した。今後も不正サクセスの再発防止策を継続して実施していくというが、特段の方向事項が発生しない限り、今回の調査結果が最終報告になる。
1.調査開始の経緯
本年3月21日(水)02時30分に当社一部サーバーに異常が発生し、当社システム担当者が当該障害の対応に当たっていたところ、3月19日(月)20時55分より3月21日(水)00時01分までにかけて、当社サーバーに対して4回の不正アクセスと思われる痕跡があることを発見し、お客様情報を保持するサーバーに対しても不正アクセスと思われる痕跡があったため、ただちに調査を開始いたしました。
2.調査体制
本調査は、不正アクセスの嫌疑の報告を受け、直ちに社内で組織化した事故対策委員会を中心に、外部調査機関2社(株式会社ラック、ベライゾンジャパン合同会社)の協力を仰ぎ、実施いたしました。
3.調査結果
調査の結果、以下のことが判明いたしました。
窃取された個人情報
外部から何者かが当社システムに侵入し、決済システムのプログラムを改竄したことが確認されました。当該改竄プログラム経由で、3月20日から3月22日にかけて、463件のクレジットカード情報が窃取されたと判断することが妥当と考えます。窃取されたクレジットカード情報は、いずれも当社のPC 向けオンラインゲームを利用されたお客様のもので、当社のソフト販売をご利用のお客様、あるいはモバイルゲームをご利用のお客様のクレジットカード情報は含まれておりません。窃取されたクレジットカード情報項目は次のとおりです。
・クレジットカード番号
・セキュリティコード
・カード名義
・有効期限
窃取されたクレジットカードをお持ちのお客様には、当社よりクレジットカード情報が窃取されたことを7月19日にご連絡させていただいております。また、同時に当該クレジットカードのモニタリングをクレジットカード会社各社に依頼しております。
その他
当社が運営するPC 向けオンラインゲームポータル GAMESPACE 24 のID とパスワードの一部に流出の嫌疑があることが判明しました。実際の被害発生は確認されておりませんが、安全のため6月にGAMESPACE 24 のID、パスワードシステムを改定し、併せて全ユーザーのパスワードの変更を実施いたしました。また、より安全なサービスの提供を実現するために、7月よりワンタイムパスワードシステムも導入いたしました。(PC 向け新規オンラインゲームタイトルより順次対応いたします。)以上が、調査の結果判明した窃取された個人情報、及び流出の嫌疑のある個人情報のすべてです。
当社では、不正アクセスの発生直後の3月22日に、不正アクセスされたサーバーに最大で26 万1,161 件の個人情報が蓄積されており、その一部にはクレジットカードの情報も含まれていたため、被害の最大数を26 万1,161 件と発表いたしましたが、調査の結果、上記以外の窃取及び流出の事実はないものと判断しております。
4.実施済の対応策
当社は、セキュリティ強化に関して専門会社のアドバイスを受けながら対策を実施しております。これまでに実施しました対策は次のとおりです。
アクセス制限の強化
ファイアウォールの設定強化ならびに業務別ネットワークセグメント間のアクセス制限強化を実施いたしました。
個人情報の削減と暗号化
社内業務用として保持すべき個人情報を大幅に削減するとともに、保持する重要情報に関しては暗号化を実施いたしました。
専用機器の設置ならびにモニタリングの開始
通信を監視・制限する専用機器を設置し、社内外からの通信を専門会社による常時監視体制下に置くことで、異常アクセスの検知・遮断を可能にいたしました。
システムの再構築
マルウェアが発見されたサーバーに関して、ハードディスクの入れ替えと、システムの再インストールを実施しました。
ID、パスワードシステムの強化
当社のPC 向けオンラインゲームポータル GAMESPACE 24 のID、パスワードシステムを改定しました。またワンタイムパスワードシステム*1 も導入いたしました。
※1認証のために1回しか使えない「使い捨てパスワード」のことです。トークンと呼ばれるワンタイムパスワード生成器が、ワンタイムパスワードを作り出します。トークンが生成するワンタイムパスワードは1分程度の短時間で変化するため、万一盗聴されたとしても、有効な時間は極めて短く、繰り返し使うことができません。このため高い安全性が保持できます。
PCIDSS の取得
クレジットカード情報・取引情報の安全を守るために、国際ペイメントブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準であるPCIDSSを7月13日に取得しました。
クレジットカード決済の再開及びクレジットカード情報の非保持
クレジットカード会社の承認を受け、7月19日よりクレジットカード決済を順次再開いたしております。また再開に当たって、決済専門会社を利用することにより当社自身ではクレジットカード情報を保持しないようシステムを変更いたしました。
5.今後計画している対応策
今後計画しております主な対策は次のとおりです。
・ネットワーク構成全体の見直しによる堅牢なセキュリティの実現
・アクセス権限のさらなる厳格化による社内セキュリティレベルの向上
・サーバー及びクライアントPC の設置・運用・廃棄管理の厳格化
6.処分
この度の件に関し、お客様をはじめ、関係者の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、現経営陣の責任を明確にするため、以下の社内処分を行います。
・代表取締役社長 梶並 伸博 3ヶ月間の月額報酬10%減額
・取締役システム部長 赤塚 正 3ヶ月間の月額報酬10%減額
7.業績への影響
当社では、前期(平成24年3月期)において、本件に起因して平成25年3月期以降に発生する対応並びに再発防止等に要する費用として110,000千円を見込み、同額を情報セキュリティ対策引当金として計上いたしました。
これに対し、平成25年第1四半期における本件に起因する費用は16,295千円発生しており、情報セキュリティ対策引当金から同額を取崩しております。当該費用は、第2四半期以降も発生することが予想されております。
