fx-on(株式会社ゴゴジャン)の不正アクセス&個人情報流出の続報
先日、fx-on(株式会社ゴゴジャン)が個人情報流出後の対応を放棄という記事を書きました。そして、記事を書いて1ヶ月半経った7月25日、fx-onから正式なリリースがありました。
fx-onからの正式なリリースはこちらです。
再度消えてしまったときのために、こちらのリリース本文を最後に転載しておきます、笑
情報流出件数は9,822件!
流失したものはこちらの通り。決済に必要なもの全部盗まれてるじゃないですか・・・笑
- 氏名(カード名義人名)
- クレジットカード番号
- 有効期限
- セキュリティーコード
件数は9,822件とかなり多数です。fx-onってそんなに利用されてたんですね笑
しかも、その原因が驚きです。
平成27年9月15日から平成29年6月2日の間に弊社オンラインショップでクレジットカード決済をご利用されたお客様が情報流出の疑いのある対象となります。
原因
弊社のクレジットカード支払いサイトに第三者による悪意あるプログラムが仕込まれていたことが確認されましたことから、同プログラムを経由してカード情報が不正取得された可能性が高いものと思われます
これを見る限り、約2年もの長きに渡って悪意あるプログラムが社内システムに仕込まれていたのに、気付かなかったという風に読めます。。。。
なんでいったん公開したものを削除したのか?
未だに分からないのが、なぜいったん公開した情報を削除したのか?ということです。
リリースにはこう書かれています。
関係各所より、「カード情報の流出という事実が判明してないことから、混乱を回避するため、サイトトップのお知らせの記載内容を変更して頂きたい」との指摘があり、サイトトップの掲載文言を『カード決済メンテナンス中』へ変更いたしました。
確かに、「事実が判明」していないとはいえ、強く懸念があるのであれば公開しておけばいいのにと思うのは私だけでしょうか。しかも関係各所ってどこでしょう。
また、外部機関に調査を依頼し、調査結果が返ってきたのは7月7日のようです。結果が返ってきてからリリースを出すまでに18日間もかかっています。これもよく分からないですね。。
メールもやってきた
私は被害に遭っていたので、このようなメールもやってきました。
不正アクセスに関するご報告と情報流出についてのお詫び
平素は、弊社運営サイトをご愛顧いただき、心よりお礼申し上げます。
このたび、弊社運営サイト「fx-on」(http://fx-on.com/)におきまして、外部からの不正アクセスがあり、クレジットカード情報が一部流出した疑いのあることが判明いたしましたので、ご連絡させていただきます。平成29年6月5日(月)に『弊社サイトへの不正アクセスによる個人情報流出の可能性についてのお知らせ』のご案内を申し上げましたが、その後の第三者調査機関である「Payment Card Forensics株式会社」(VISA、JCB等のカード会社5社が共同で設立した機関「PCISSC」(Security Standards Council)による、認定フォレンジック調査機関(PFIs)の認定を受けた調査会社でございます。)による調査の結果、(私の名前)様におかれましては、流出した疑いのあるお客様情報に含まれていることが判明いたしました。
【流出した可能性のある情報】
カード名義人名、クレジットカード番号、有効期限、セキュリティーコードこのたびのことは、第三者による不正アクセスによるものとはいえ、(私の名前)様に多大なるご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。
弊社は、お客様の個人情報を取り扱う事業者として、このような事態を招いたことを重く受け止め、これまで以上に個人情報の取り扱いについてセキュリティ体制の強化に努め、再発防止に取り組んでまいります。
(私の名前)様におかれましても身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。万が一、カード明細書に身に覚えのない請求がございました場合は、誠に恐れ入りますが、クレジットカード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。
また、カード再発行の手数料につきましては、お客様のご負担にならないよう、弊社からカード会社へ依頼しております。
(私の名前)様に多大なるご心配とお手数をおかけいたしましたお詫びとして、心ばかりの粗品をお届けいたしますので、ご受納ください。なお、本件に関しまして、第三者による不正アクセスの概要やその後の対応などについて、下記サイトにてお知らせさせていただいております。
http://fx-on.com/lecture/duty.php?c=46&i=13974
甚だ略儀でございますが、謹んでお詫び申し上げます。
株式会社ゴゴジャン
代表取締役 早川忍
ということで、心ばかりの粗品を頂けるようです。どうやらQUOカードのようです笑
ただし、QUOカードは郵送されるようなので、fx-onに住所氏名を登録しなければなりません。
なぜ個人情報流出の詫びを受け取るために、更に個人情報を登録しなければいけないのか・・・わざとやってますよね?
カード発行手数料は?
カード再発行の手数料につきましては、お客様のご負担にならないよう、弊社からカード会社へ依頼しております。
私はカードを再発行した際、再発行手数料がすでにかかってしまっています。上記のように記載がありますが、あくまでfx-onがカード会社に依頼しているだけです。私の再発行手数料は戻ってこないでしょうね。
カード会社なんて無数にあると思いますが、どうやって各社に依頼しているのでしょうか・・・
ひとまず一件落着か?
というわけで、このようなリリースが出たので今回の個人情報流出事件はもし本当にQUOカードが届けば一件落着でしょうか。いろいろ不可解な点はありますが・・
QUOカードが届いたら記事を追記したいと思います。こんなことにならないように願っています。
2017年9月現在、まだ私の元にQUOカードは届いておりません。
fx-onの営業は続いておりますが、クレジットカードは引き続き使用できない状態になっています。そして残念ながら、fx-onにはかなりの悪評がついてしまいました。
自動売買関連のプログラム等を提供しているサイトは多くないので、fx-onを応援したい気持ちも少なからずあります。また機会があれば利用させていただきます。
リリースを念のため転載
こちらにリリース内容を念のため転載しておきます。
平成29年7月25日
お客様各位
株式会社ゴゴジャン
代表取締役 早川 忍不正アクセスに関するご報告と情報流出についてのお詫び
このたび、弊社運営サイト「fx-on」(http://fx-on.com/)におきまして、外部からの不正アクセスがあり、クレジットカード情報が一部流出した可能性があることが判明いたしました。
本件に関して、不正アクセスの概要やご対応などについて、下記のとおりお知らせいたしますとともに、お客様をはじめ関係者の皆様に、多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
なお、クレジットカード情報が流出した可能性のあるお客様へは、Eメール等にて個別にご連絡致します。
記
【経緯】
1. 平成 29 年6月2日(金) 10:00
弊社の契約先である決済代行会社から「fx-on」利用のお客様クレジットカードにおいて不正利用が発生した可能性があるとの一報を受けました。
直ちに弊社内にて事故対策本部を設置し、即日、「fx-on」におけるクレジットカード決済の利用を停止いたしました。2. 平成 29 年6月5日(月)13:00
『弊社サイトへの不正アクセスによる個人情報流出の可能性についてのお知らせ』をサイトトップに掲載するとともに、電子メールにて会員様に別途ご案内いたしました。
3. 平成 29 年6月5日(月)
関係各所より、「カード情報の流出という事実が判明してないことから、混乱を回避するため、サイトトップのお知らせの記載内容を変更して頂きたい」との指摘があり、サイトトップの掲載文言を『カード決済メンテナンス中』へ変更いたしました。
また、不正アクセスの全容解明および被害状況の把握に向け、第三者調査機関である「Payment Card Forensics株式会社」(VISA、JCB等のカード会社5社が共同で設立した機関「PCI SSC」(Security Standards Council)による、認定フォレンジック調査機関(PFIs)の認定を受けた調査会社。以下、「PCF社」といいます。)に調査を依頼し、6月6日(火)PCF社による調査を開始いたしました。
4. 平成 29 年6月15日(木)
お客様対応のためのフリーダイヤルを設置いたしました。
5. 平成29年7月7日(金)
PCF社より調査結果報告を受領いたしました。同社の報告により、個人情報等の流出疑いの内容及び原因が次のとおりであると判明いたしました。
【不正アクセスによる情報流出について】
(1) 流出した可能性のある情報
ア 氏名(カード名義人名)
イ クレジットカード番号
ウ 有効期限
エ セキュリティーコード(2) 流出の規模
流失した情報の件数 9,822件(=カード番号の数)
※平成27年9月15日から平成29年6月2日の間に弊社オンラインショップでクレジットカード決済をご利用されたお客様が情報流出の疑いのある対象となります。(3) 原因
弊社のクレジットカード支払いサイトに第三者による悪意あるプログラムが仕込まれていたことが確認されましたことから、同プログラムを経由してカード情報が不正取得された可能性が高いものと思われます【弊社の対応】
1. お客様への対応
・情報流出対象のお客様にメールおよび郵送にて、お詫びと注意喚起を直接ご案内させていただいております。
・お客様からのお問い合わせに対応できるよう、専用コールセンターを設置いたしました。2. 関係官庁への報告
・金融庁に報告を行いました。3. 警察への報告
・警視庁本富士警察署、警視庁サイバー犯罪対策課に報告を行いました。4. 不正アクセスの監視強化
・本件発覚以降、各種監視を強化し、継続監視中です。5. クレジットカードの不正利用モニタリングの実施要請
クレジットカード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼し、実施していただいております。【お客様へのお願い】
1. 身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。万が一、カード明細書に身に覚えのない請求がございました場合は、誠に恐れ入りますが、クレジットカード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。
2. カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接御連絡の上、お手続きいただきますようお願い申し上げます。カード情報の確認には、個人情報の確認も必要となる為、ご不便とご面倒をおかけいたしますが、お客様ご自身でご対応の程お願い申し上げております。なお、カード再発行の手数料につきましては、お客様のご負担にならないようカード会社へ依頼しております。
3. お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡をお願いいたします。警察および関係官庁と連携し、誠実に対応を進めてまいります。
※ 情報流出の可能性のあるお客様以外の方につきましては、再発行等の必要はございません。
【再発防止策】
弊社は二度と同様の事案を起こすことのないよう、以下の再発防止策を実施してまいります。
1. クレジットカード情報が弊社システム内に残ることのないシステムへ改良を進めてまいります。
2. 弊社サイトへの不正アクセスの有無の確認、及び、弊社サイトの不正アクセスに対する脆弱性診断を定期的に実施いたします。このたびは、お客様ならびにご関係者の皆さまに、多大なるご不安ご迷惑をおかけしておりますことを重ねてお詫び申し上げます。
【本件に関するお問い合わせ先】
お問い合わせ先
株式会社ゴゴジャン
お客様お問い合わせ窓口
フリーダイヤル 0120-726-491 平日10:00~19:00
※7/29(土)、7/30(日)、8/5(土)、8/6(日)は、10:00~19:00の間ご対応を実施いたします。
お問合せ窓口http://fx-on.com/inquiry
関東財務局長(金商)第1960号
日本証券投資顧問業協会会員 012-02323