サイバー攻撃による
お客様情報の漏えいのお詫びとご報告
更新情報
- 2017.12.07
- これまでに実施した再発防止策の内容と進捗状況を追加しました。
- 2017.10.11
- これまでに実施した再発防止策の内容と進捗状況を追加しました。
- 2017.08.29
- ご質問ならびに回答を追加しました。
- 2017.08.26
- 臨時お問い合わせ窓口の受付時間を変更しました。
- 2017.08.23
- 「お客様へのお願い」を更新しました。
- 2017.08.18
- 「お客様へのお願い」を更新しました。
- 2017.08.10
- ご質問ならびに回答を追加しました。
- 2017.07.31
- サイバー攻撃に対する情報ページ(本ページ)を公開しました。
当社は、2017年7月17日付で、当社ホームページが外部より不正なアクセス(以下、2017年サイバー攻撃といいます)を受け、当社サービスに係る一部のお客様の情報(約2,500件)が、サイバー攻撃を行った者(以下、攻撃者といいます)に漏えいした可能性があることをお知らせし(以下、7月17日付お知らせといいます(※1))、その後、2017年7月26日付で、2017年サイバー攻撃によって個人情報(約2,500件)が漏えいしたこと、およびさらなる調査により、2016年7月から11月にかけても外部より不正なアクセス(以下、2016年サイバー攻撃といいます)を受け、当社サービスに係るお客様の情報の一部(約11万件)が攻撃者に漏えいした可能性があることをお知らせいたしました(以下、7月26日付お知らせといいます(※2))。
今回のサイバー攻撃による情報漏えいに伴い、お客様ならびに関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますことを深くお詫び申し上げます。
当社ではこのたびの事態を厳粛に受け止め、セキュリティ体制の一層の強化を図り再発防止に注力するとともに、お客様の信頼を回復すべく、全社を挙げて取り組んでまいります。
※1 2017年7月17日付お知らせ
https://www.m2j.co.jp/notice/1329/contents
※2 2017年7月26日付お知らせ
https://www.m2j.co.jp/notice/1334/contents
2017年7月31日、当社内および第三者機関による2017年サイバー攻撃および2016年サイバー攻撃の被害件数その他の被害の詳細に関する調査が完了しましたので、以下のとおりお知らせいたします。
なお、今回のサイバー攻撃により情報が攻撃者に漏えいしたお客様に対しては、その旨および漏えいした具体的な情報の項目について今週半ばまでに個別にご連絡を申し上げます。また、末尾に記載の当社臨時お問い合わせ窓口までお問い合わせいただければ、お客様の情報の漏えいの有無および具体的な情報の項目について、個別にお知らせいたします。
【2017年】サイバー攻撃により漏えいしたお客様情報の内容および件数
2017年サイバー攻撃において漏えいしたお客様情報の内容の組合せおよびそれぞれの組合せに係る漏えい件数は以下のとおりです。
(「✓」は漏えいした情報を意味しており、たとえば、「ご氏名、住所、性別、生年月日、年齢、メールアドレス、電話番号、携帯電話番号、銀行口座情報およびアンケート情報等」の組合せでの漏えいは18件確認されました)
| ID | 氏名 | 住所 | 性別 | 生年月日 | 年齢 | メールアドレス | 電話番号 | 携帯電話番号 | 初回パスワード(※1) | 現金残高(※2) | 銀行口座情報 | バーチャル口座情報(※3) | アンケート情報等(※4) | 件数 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 18 | ||||||||||||||
| 4 | ||||||||||||||
| 7 | ||||||||||||||
| 1 | ||||||||||||||
| 8 | ||||||||||||||
| 2 | ||||||||||||||
| 4 | ||||||||||||||
| 4 | ||||||||||||||
| 1 | ||||||||||||||
| 2 | ||||||||||||||
| 7 | ||||||||||||||
| 1 | ||||||||||||||
| 69 | ||||||||||||||
| 6 | ||||||||||||||
| 1 | ||||||||||||||
| 1 | ||||||||||||||
| 46 | ||||||||||||||
| 1 | ||||||||||||||
| 10 | ||||||||||||||
| 2,180 | ||||||||||||||
| 4 | ||||||||||||||
| 8 | ||||||||||||||
| 54 | ||||||||||||||
| 4 | ||||||||||||||
| 12 | ||||||||||||||
|
合計:2,455件
|
||||||||||||||
※1:「初回パスワード」とは、お客様が当社の外国為替証拠金取引サービス「マネースクエアFX」の口座開設をした際に、当社からお客様に郵送で送付する書面に記載されている、初期的に設定された初回ログイン用のパスワードを意味します。2017年サイバー攻撃では初回ログイン用のパスワードは攻撃者に漏えいしていません。
※2:「現金残高」とは、当社に開設いただいた口座の2017年サイバー攻撃時点における現金残高を意味します。
※3:「バーチャル口座情報」とは、お客様に当社サービスを無料でお試しいただくことを目的として過去に提供していた仮想取引口座に関連するログイン情報を意味します。
※4:「アンケート情報等」とは、口座開設申込みの際にお客様よりご提供いただいた、職業、保有金融資産の概要、投資経験、投資目的等に関する情報や、お客様の当社におけるサービスステータス分類を意味します。
【2016年】サイバー攻撃により漏えいしたお客様情報の内容および件数
2016年サイバー攻撃において漏えいしたお客様情報の内容の組合せおよびそれぞれの組合せに係る漏えい件数は以下のとおりです。
(「✓」は漏えいした情報を意味しており、たとえば、「ID、生年月日、メールアドレス、電話番号、携帯電話番号、初回パスワードおよびバーチャル口座情報」の組合せでの漏えいは200件確認されました)
| ID | 氏名 | 住所 | 性別 | 生年月日 | 年齢 | メールアドレス | 電話番号 | 携帯電話番号 | 初回パスワード(※1) | 現金残高(※2) | 銀行口座情報 | バーチャル口座情報(※3) | アンケート情報等(※4) | 件数 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 200 | ||||||||||||||
| 48,222 | ||||||||||||||
| 77 | ||||||||||||||
| 4 | ||||||||||||||
| 120 | ||||||||||||||
| 123 | ||||||||||||||
| 24,097 | ||||||||||||||
| 3,369 | ||||||||||||||
| 5 | ||||||||||||||
| 30,275 | ||||||||||||||
| 61 | ||||||||||||||
| 180 | ||||||||||||||
| 78 | ||||||||||||||
| 2 | ||||||||||||||
| 1,335 | ||||||||||||||
| 120 | ||||||||||||||
| 76 | ||||||||||||||
| 69 | ||||||||||||||
| 1 | ||||||||||||||
| 2,425 | ||||||||||||||
| 17 | ||||||||||||||
| 4 | ||||||||||||||
| 3 | ||||||||||||||
| 164 | ||||||||||||||
| 48 | ||||||||||||||
| 1,289 | ||||||||||||||
|
合計:112,364件
|
||||||||||||||
※1:「初回パスワード」とは、お客様が当社の外国為替証拠金取引サービス「マネースクエアFX」の口座開設をした際に、当社からお客様に郵送で送付する書面に記載されている、初期的に設定された初回ログイン用のパスワードを意味します。初回ログイン用のパスワードはすでに無効化されております。
※2:「現金残高」とは、当社に開設いただいた口座の現金残高を意味します。
※3:「バーチャル口座情報」とは、お客様に当社サービスを無料でお試しいただくことを目的として過去に提供していた仮想取引口座に関連するログイン情報を意味します。
※4:「アンケート情報等」とは、口座開設申込みの際にお客様よりご提供いただいた、職業、保有金融資産の概要、投資経験、投資目的等に関する情報や、お客様の当社におけるサービスステータス分類を意味します。
お客様へのお願い
不審な電話やメールがあった場合のご注意
当社がお客様に対して、パスワードをおたずねすることは絶対にございませんので、そのような問い合わせがあったとしても、くれぐれもご回答されないようにお願い申し上げます。
本件に関して当社からお客様にご連絡を差し上げる場合、メールにファイルを添付してお送りすることはございません。
不審なメールにつきましては、メールおよび添付ファイルの開封を控えるなど、ご注意をお願いいたします。
万が一不審な電話等がありましたら、以下お近くの消費生活センターや消費者庁へご連絡ならびにご相談をお願い申し上げます。
【国民生活センターの相談窓口】
全国の消費生活センター等(国民生活センターホームページ)
https://www.kokusen.go.jp/map/index.html
【消費生活センターの相談窓口】
消費者ホットライン局番なし 188番
https://www.caa.go.jp/policies/policy/local_cooperation/local_consumer_administration/hotline/
パスワード変更のお願い
長期間パスワードを変更されていないお客様は、パスワードを変更していただくようお願いいたします。
パスワード変更の方法はこちらをご確認ください。
疑わしいお取引があった場合
万が一疑わしいお取引がございましたら、末尾に記載の当社臨時お問い合わせ窓口までお問い合わせください。第三者機関の協力も得ながら取引状況等について調査し、誠実に対応させていただきます。
なお、現時点で攻撃者に対する情報漏えい以外のお客様の被害について、確認できているものはございません。
また、8月12日にお客様の前回のログイン日時を確認できる機能を、マイページに追加いたしましたのでご利用ください。
詳細は、https://www.m2j.co.jp/notice/1340/contentsをご確認ください。
迷惑メールの対策方法について
メールアドレスが漏えいしたことで、迷惑メールが届いてしまう可能性が考えられます。
対策方法については以下ホームページをご参考ください。
【一般財団法人日本データ通信協会ホームページ】
https://www.dekyo.or.jp/
【迷惑メール相談センター】
https://www.dekyo.or.jp/soudan/index.html
再発防止策
社内調査チームにて今回のサイバー攻撃による情報漏えいの発生原因を分析、検討の上、不正アクセス・脆弱性対策の強化、定期的なアクセスログのモニタリング方法の見直し、定期的なセキュリティアセスメントの実施、情報セキュリティ教育の実施等の再発防止策を、全社を挙げて取り組んでまいります。
これまでに実施した再発防止策の内容と進捗状況
■ プラットフォームに対するセキュリティ対策の強化
- OS、ミドルウェアのアップデートを行うなど、プラットフォームのセキュリティを改善いたしました。
■ WEBサーバー監視体制の強化
- アクセスログの分析、確認体制を強化いたしました。
- 新たなセキュリティシステムを導入いたしました。
- 不正侵入などの検知レベルを強化いたしました。
■ 第三者機関の脆弱性診断を実施し、危険度の高い脆弱性に対応
- 第三者機関と協力し、サイト全体の脆弱性診断を実施、その結果により重要度の高い脆弱性への対応が完了いたしました。
■ セキュリティに関するスタッフへの再教育および運営体制を強化
- セキュリティに関する新たな情報や攻撃方法の手口等を共有する体制を構築し、また業務フローを従来よりも細分化することで運営体制の強化を図りました。
■ Webサイトの常時SSL化対応
- Webサイトの全体的なSSL化対応(暗号化通信対応)を行い、よりセキュリティの高い状態でお客様にWebサイトを閲覧していただける体制を構築いたしました。今までは、口座開設画面、セミナー申し込み画面など、一部のページのみをSSL化しておりましたが、今回の対応では当社Webサイト全てがSSL化の対象となっております。
■ アカウントロック機能の導入
- マイページにログインする際、複数回誤ったパスワードを入力するとアカウントをロックする機能を導入いたしました。これによって、悪意のある第三者によるアカウントの乗っ取りに対する安全性が高まり、マイページ機能を安心してご利用いただけるようになりました。
本件に関する経緯
| 日付 | 内容 |
|---|---|
| 2017年 7月13日(木) 15時頃 |
当社システム部門が外部よりサイバー攻撃を受けていることを検知し、サイバー攻撃の成否、漏えいした可能性のあるお客様情報等の調査を当社内で開始したところ、当社の開催するセミナーに申し込んだ一部のお客様の情報(7月17日付お知らせに記載の情報)が攻撃者により取得された可能性のあることが判明。直ちに攻撃対象となっていたファイルを削除したことでサイバー攻撃を遮断し、被害状況の調査を開始。 |
| 同年 7月14日(金) |
被害状況の調査、原因分析等について専門的知見を有する第三者機関に調査を依頼。 |
| 同年 7月18日(火) |
第三者機関による調査の過程で、2016年7月から11月にかけて、当社ホームページが外部よりサイバー攻撃を受け、攻撃者にお客様の情報の一部が漏えいしている可能性がある旨の報告があり、第三者機関に対して上記期間における漏えいについても詳細な調査を依頼。 |
| 同年 7月22日(土) |
2016年7月から11月におけるサイバー攻撃が確認されたため、直ちに、攻撃者による不正取引経路を遮断。 |
| 同年 7月28日(金) |
関東財務局より行政処分(業務改善命令)の通達。 |
マイページログイン等の諸手続
マイページログイン
パスワード変更等の諸手続き
※法人のお客様で「お客様ID」を失念された場合は下記カスタマーデスクまでご連絡ください。
カスタマーデスク:0120-455-512(FX)(9:00~17:00 土日祝除く)
本件に関するお問い合わせ先
臨時お問い合わせ窓口
臨時お問い合わせ窓口は2018年2月28日(水)をもって終了とさせていただきました。以降は、カスタマーデスク 0120-455-512(9:00~17:00 土日祝除く)までお問い合わせください。
本件に関する報道関係の方のお問い合わせ先
株式会社マネースクエア 経営企画室
電話番号:03-3470-5050
FAX:03-3470-5053
メールアドレス:ir@m2hd.co.jp