この度、2020年4月13日に第三者からの指摘を受け、弊社が運営しております「ヤマケイオンライン」において、所有する会員様の個人情報が流出していることが判明いたしました

本件につきまして、4月18日に広報しましたが、本日正午までに判明したことをお知らせします。

お客様ならびに関係者の皆様に、多大なご迷惑をおかけしますことを、深くお詫び申し上げます。


■会員情報流出の概要

弊社のオンラインサービスである「ヤマケイオンライン」において、2013年4月9日以前に登録していただいた会員様、29431人の個人情報の流出が判明しました。

【事態の経緯】

4月14日、第三者からの報告を受けて調査したところ、2013年4月9日のシステムリプレイス以前の会員様の個人情報データ(29431件)がダークウェブ上で取引されていることが判明しました。

これを受けて、4月15日に所轄の神田警察署に報告し、4月17日には警視庁サイバー犯罪対策課にも情報提供を行いました。

4月18日に対象会員様の登録パスワードをリセットするとともに、対象会員様にはご報告とお詫びのメールを送り、注意喚起とパスワードの変更を促しました。また、山と溪谷社ホームページ上に本件に関する一報をお伝えする掲載を行いました。

【被害の程度と範囲】

2013年4月9日以前に登録していただいた会員様、29431人の登録個人情報(メールアドレス、ログインパスワード、生年月日、電話番号)

【関係先への報告】

本件につきまして、警視庁サイバー犯罪対策課及び所轄の警察署に被害の詳細を報告しております。

【被害の危険性】

今回流出した個人情報の内容から、不正なログインや、なりすまし被害、フィッシング詐欺メール等の危険性を把握し、該当の会員様にはメールにて注意喚起を行いました。

【被害の対象】

2013年4月9日のシステムリプレイス時に移行した旧システムのデータが対象です。

【過去の被害との関連】

「ヤマケイオンライン」では、これまで2015年7月と2017年11月に、外部からの不正アクセス(SQLインジェクション)を受けております。

当時の状況の詳細は下記のとおりです。

なお、流出データの存在経緯から、2017年の不正アクセスとの関連性は低く、2015年の不正アクセスとの関連性を調査中です。

今回流出対象となった旧システムのデータが、2015年当時のWebアプリケーションからアクセスできるサーバー領域に存在しておりました。

2015年7月にWebアプリケーションから当該データへのアクセスは遮断しており、現在、当該データはサーバ上から削除されています。パスワードについては、2013年4月9日以降のデータにおいては暗号化されております。

また、2017年12月にセキュリティ強化した以降の不正アクセスは現時点で確認されておりません。

【被害の補償について】

今回の流出によるお客様の被害の補償につきましては、個別に対応させていただきます。
実際に被害に遭われた会員様には、下記の問い合わせ窓口にご連絡いただくようお伝えしています。

【今後の対策】

「ヤマケイオンライン」は、2017年にセキュリティ強化を実施しておりますが、さらなる監視体制の強化と再発防止策を図ってまいります。

2020年4月23日

株式会社 山と溪谷社
代表取締役社長 川崎深雪

------------------------------------

本件に関するお問い合わせ先
株式会社山と溪谷社 ヤマケイオンライン部
担当 湯浅陽介
メール: yol_mail_2020@yamakei.co.jp