スパイラルEC® 不正アクセスによる
個人情報の流出及び閲覧可能性に関するお知らせとお詫び

株式会社フレンディット(以下、「当社」といいます)が販売するECシステム「スパイラルEC®」(以下、「本サービス」といいます)において、外部から受けた不正アクセスにより、本サービス内の個人情報が不正にダウンロード、または閲覧された可能性が判明いたしました。

判明した不正アクセスの概要と対応につきましてご報告するとともに、お客様はもとより関係者の皆様に対し、多大なるご心配とご迷惑をお掛けいたしますことを、深くお詫び申し上げます。また、発生から被害状況の確認までに時間を要したことを重ねてお詫び申し上げます。

 なお、本サービスは、グループ企業である株式会社パイプドビッツ(以下、「パイプドビッツ社」といいます)が提供元であり、パイプドビッツ社の発表内容を参照して報告いたします。

第4報(2016.7.27発表)

先般ご報告しました「スパイラルEC®」への不正アクセスによる個人情報流出について、パイプドビッツ社より「安全性確認及び脆弱性診断の結果報告」が掲載されました。パイプドビッツ社の発表内容をご参照ください。

第3報(2016.7.15発表)

先般ご報告しました「スパイラルEC®」への不正アクセスによる個人情報流出について、パイプドビッツ社より「4.応急的な対応」・「10.再発防止」に関する追加報告が掲載されました。パイプドビッツ社の発表内容をご参照ください。

第2報(2016.6.30発表)

先般ご報告しました「スパイラルEC®」への不正アクセスによる個人情報流出について、報告後に実施した対策の進捗と今後の予定、先般の報告に対しての補足説明について、パイプドビッツ社より続報がございます。パイプドビッツ社の発表内容をご参照ください。

第1報(2016.6.22発表)

1.発生事象

スパイラルEC® に対する外部からの不正アクセスにより、個人情報が外部に流出したことが判明しました。

2.影響範囲

(1) 2016年4月18日 15時52分頃、外部からの不正アクセスにより、スパイラルEC®上でECサイトを運営している1社のサイトから個人情報 10,946件を含む注文情報 15,581件がファイルとして第三者によりダウンロードされました。

個人情報には以下の事項が含まれます。 注文者氏名、注文者住所、注文者メールアドレス(PC / 携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等 ※ 会員ID及びパスワードは注文情報に含まれておりません。
※ クレジットカード情報につきましては、システム側で保有していないため流出しておりません。
※ 現時点で個人情報を悪用された等の報告はございません。

(2)スパイラルEC®上でECサイトを運営している43社53サイト314名の管理画面にアクセスする運営者のログインID及びパスワードのメッセージダイジェスト(不可逆暗号)のうちの一部がデータベースクライアントプログラムを用いて第三者に閲覧された可能性が高いと考えられます。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。

(3)上記のうち40社42サイトにおいて、データベースクライアントプログラムを用いて個人情報を含む約98万件のデータのうちの一部が第三者に閲覧された可能性があります。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。

個人情報には以下の事項が含まれます。 注文者氏名、注文者住所、注文者メールアドレス(PC / 携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等 ※ クレジットカード情報につきましては、システム側で保有していないため流出しておりません。
※ 現時点で個人情報を悪用された等の報告はございません。

(4)2社、2サイトが利用している決済代行サービスとの連携設定が第三者に閲覧されました。その他、22社24サイトの同設定がデータベースクライアントプログラムを用いて閲覧された可能性があります。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。現時点で連携している決済代行サービス会社に弊社システムからの不正な接続がないことを確認しています。 この設定及び該当サービスを利用した注文番号を用いると、注文金額を引き下げることが可能ですが、現時点で悪用された等の報告はございません。

※3〜11各項についての詳細は、パイプドビッツ社の発表内容をご参照ください。

  1.  3.原因
  2.  4.応急的な対応
  3.  5.発生経緯
  4.  6.調査及び対応経緯
  5.  7.一連の攻撃についての推測
  6.  8.問題点の認識
  7.  9.スパイラル®等の他プラットフォームへの影響
  8. 10.再発防止
  9. 11.外部機関への報告について

※3〜11各項についての詳細は、パイプドビッツ社の発表内容をご参照ください。

本サービスご利用のお客様へ

当社ホームページと併せてご利用者様宛にメールでもお知らせしておりますが、各社様に本件ご説明の機会を頂戴したく、営業担当者より個別にご連絡申し上げます。
 また、本件に関して、ECサイトをご利用のエンドユーザー様から問い合わせが発生し、お客様にご負担をかけてしまうことが予想されます。
 つきましては、問い合わせ対応について当社がサポート(無償)させていただきますので、ご要望をお聞かせください。

  1. 1.本件専用「お問い合わせWEBフォーム」の提供、ならびに返信応対業務を代行
  2. 2.本件専用「お問い合わせ窓口」の設置、ならびに電話応対業務を代行

※ 1につき、お客様宛てメール通知先等、設定に要す事項を確認させていただきます。
※ 2につき、窓口はフレンディット社でございます。あらかじめご了承ください。
※ サポート期間は、問い合わせの状況をふまえ、別途協議させていただきます。
※ 運用方法の詳細は別途ご連絡の上、調整させていただきます。
※ 本件以外のECサイトに関するお問い合わせは、従来どおりお客様にてご対応ください。

お客様へのお願い

(1)ご登録ID及びパスワードをご変更ください

本件において、個人情報以外に閲覧された可能性のある情報として、本サービス管理画面ご利用時の「ログインID及びパスワードのメッセージダイジェスト(不可逆暗号)」がございます。お客様のログインIDを使用した不正ログインを防止するため、本サービスにご登録のログインID及びパスワードのご変更をお願いいたします。

(2)決済代行サービスとの接続設定をご確認ください

本件において、個人情報以外に閲覧された可能性のある情報として、本サービス管理画面内の「決済サービスとの接続設定」がございます(エンドユーザー様には影響ありません)。お客様におかれましては、設定情報の正否確認、クレジットカード決済での注文有無確認、管理画面から与信確定ができていることの確認、をお願いいたします。
 なお、現時点で連携している決済代行サービス会社に、スパイラルEC®からの不正な接続がないことを確認しています。

(3)許可IPアドレスによる閲覧制限を設定ください

本サービス管理画面へのアクセスは「固定IPアドレス」により閲覧可能経路を限定し、セキュリティをより強固にすることができますので、許可IPアドレス制限設定を推奨いたします。※設定方法等のご不明点はお問い合わせください。

今回の事態を真摯に受け止め、二度とこのような事態を起こさぬよう、パイプドビッツ社とともに全力を挙げて再発防止に取り組みます。また、お客様に安心してご利用いただけるサービスの提供と、個人情報の保護に万全を尽くす所存でございます。

対象期間から現在まで、個人情報の不正使用等に関するのお問い合せは受けておりませんが、当社は積極的に情報を収集し、適切な対処の上、お客様及びECサイト利用者様からの信頼回復に取り組んでまいります。

 本件に関するご不明点やお気付きのことがございましたら、下記までご連絡くださいますようお願いいたします。

お問い合わせ

フォームからのお問い合わせ

本件に関するお問い合わせ

お電話からのお問い合わせ

TEL:03-6744-7492
(受付時間:平日 10:00〜18:00)