「ヤマケイオンライン」では、2017年12月までに、外部からの不正アクセス等により、登録会員様の情報漏洩が複数回発覚しており、会員様の登録時期によって、下記のご案内をしております。
お客様におかれましては、登録内容、メールアドレス、パスワードの管理をご確認いただき、フィッシング詐欺メール等にはくれぐれもご注意くださいますようお願い申し上げます。
また、具体的に会員様に被害等が発生しましたときには、下記に記しました「ヤマケイオンライン」のメールアドレスまで、ご連絡いただきますようお願い申し上げます。
弊社は、会員様の個人情報を取り扱う事業者として、このような事態を招いたことを重く受け止め、原因究明を徹底し、セキュリティ対策強化に努めております。2017年12月以降、不正アクセスおよび情報漏洩は確認されておりません。
なお、上記に関しまして、具体的に会員様に被害等が発生しましたときには、「ヤマケイオンライン」メールアドレス(yamakei-online@yamakei.co.jp)までご連絡いただきますようお願い申し上げます。
退会を希望される方は、その旨、yamakei-online@yamakei.co.jp までご連絡ください。弊社で登録内容削除の手続きをさせていただきます。
*****
■2013年4月9日以前にご登録の会員様へ
2020年4月13日に、第三者からの指摘を受け、「ヤマケイオンライン」の登録会員様の登録情報が、流出していることが判明し、流出データの内容と解析を行った結果、2013年4月9日の「ヤマケイオンライン」リニューアル以前にご登録いただいた方の、登録個人情報(メールアドレス、当サイトのログインパスワード、生年月日、電話番号)であることが判明しました。
本件につきましては、該当の会員様に対して、4月18日(土)に、お詫びとご報告のメールをお送りし、会員様の登録済みのパスワードを、無作為に作成した文字列のパスワードに変更しました。
会員様におかれましては、同じメールアドレス、パスワードを複数のサイトで利用されているような場合におきましては、変更等をお願いいたします。
なりすまし可能、個人特定可能な状態で、詐欺電話等がかかってくる恐れもありますので、ご対応いただきますようお願いいたします。
フィッシングメールを送られてくる可能性もありますので、くれぐれも細心の注意で、メールを開いたり、添付ファイルを開いたり、サイトにアクセスしたりしないようお願いします。
本件については、山と溪谷社コーポレートサイトの会社広報欄にも、お詫びとご報告を掲載していますので、併せてご参照ください。
第1報
https://www.yamakei.co.jp/news/apology/owabi20200417.html
第2報
https://www.yamakei.co.jp/news/apology/20200423.html
2020年9月から2015年7月6月までにご登録の会員様へ
2015年7月6日、情報セキュリティ団体「JPCERTコーディネーションセンター(以下JPCERT)」より、弊社ウェブサービスに係るシステムの脆弱性について連絡を受け、JPCERTへのヒアリングと併せて、弊社にて調査を行った結果、弊社が運営しておりました「涸沢フェスティバル特設サイト」(http://special.yamakei.co.jp/karasawa/)のウェブサーバを経由して、「ヤマケイオンライン」の会員データベース・サーバに対して外部から不正アクセスがあり、サーバ内の一部情報が取得されたことが判明しました。
不正アクセスにより漏洩が確認された会員情報は下記のとおりです。
「ヤマケイオンライン」登録会員データ 580件
内訳:メールアドレス 579件、パスワード(暗号化済) 1件
確認された脆弱性については、調査を開始した2015年7月6日(月)のうちに、システム上のプログラム修正ほか適切な処置を行い、不具合を解消しました。
また当該の会員様にはメールにて、ご報告とお詫びをお送りし、フィッシング詐欺メール等への注意喚起を行いました。
その後、7月16日までに調査を行いましたが、情報が公開・悪用されていることは確認されませんでした。
本件については、山と溪谷社コーポレートサイトに、お詫びとご報告を掲載しました。
https://www.yamakei.co.jp/news/apology/20150713.html
■2015年7月から2017年11月29日までにご登録の会員様へ
2017年11月29日に、「ヤマケイオンライン」に登録の会員様から、会員様のメールアドレスにフィッシングメールが届いたとの報告を受け、調査いたしましたところ、「ヤマケイオンライン」の会員データベース、その他のデータベースに対して外部から不正アクセスがあり、会員情報の一部が流出したことが確認されました。
該当システムのログ等から調査可能な全期間についてより詳細に解析しましたところ、10月31日、11月22日、11月23日に不正アクセスが認められ、以下の内容の流出が確認されました。
不正アクセスにより漏洩が確認された会員情報は下記のとおりです。
「ヤマケイオンライン」登録会員データ 1160件
内訳:
氏名、メールアドレス、住所、電話番号、性別、生年月日等登録情報の全部 2名
氏名、メールアドレス 3名
メールアドレス 3名
氏名 1154名
該当の会員様には、ご報告とお詫びをお送りし、フィッシング詐欺メール等への注意喚起を行いました。また、システム上の脆弱性については、12月5日までに解消しました。
しかしながら、当時、サイトで保管しているアクセスログは31日分となっており、発覚の日から遡り10月28日から11月29日までのアクセスログの調査・解析となっています。
本件については、山と溪谷社コーポレートサイトに、お詫びとご報告を掲載しました。
https://www.yamakei.co.jp/news/apology/20171219.html
*****
2020年9月17日
株式会社山と溪谷社
代表取締役社長 川崎深雪
ヤマケイオンライン部 担当 湯浅陽介