【本件に関するお問い合わせ先】

【モンベルクラブ事務局】
〒550-0013 大阪市西区新町2丁目2-2
フリーコール:0120-998-460 ※携帯電話、IP電話などからはご利用いただけません。
TEL:06-6538-5793
FAX:06-6538-5772
メールclub@montbell.com
受付時間:平日/10:00~17:30 土曜/10:00~15:00 ※日曜・祝日は受け付けておりません

よくいただくご質問と回答

本件につき、よくいただくご質問と回答はこちらよりご確認ください。

本件の経緯

本件についての経緯はこちらよりご確認ください。



【調査結果ご報告】

■不正アクセスによる情報漏えいの内容

調査の結果、不正アクセスによって窃取された情報は、弊社データベースサーバー内にありました、オンラインショップの受注データに含まれるクレジットカード情報(番号、有効期限)であることが分かりました。

・情報漏えいによりご迷惑をおかけしましたお客さま

2009年11月1日午前0時00分~2010年1月26日午前6時37分の期間中、モンベル・オンラインショップでクレジットカード決済をご利用になったお客さま。
※モンベル・オンラインショップのご利用には、モンベルクラブ年会費のお支払い(入会・更新)を含みます。

・情報項目・件数

クレジットカード情報(番号、有効期限) … 11,446件
※お名前、お電話番号、ご住所、メールアドレスといったクレジットカード情報以外の個人情報は窃取されておりません。

・不正アクセスの日時・攻撃手法

日時:2010年1月25日午前3時39分~1月26日午前6時37分にかけて断続的に
攻撃元:海外(中国のIPアドレス)
攻撃手法:弊社データベースサーバー内のデータベースに対する「SQLインジェクション」(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)。
※ガンブラー・ウイルスによる攻撃ではありません。

■お客さまへの対応について

情報漏えいによりご迷惑をおかけしたお客さまへは、個別にご連絡を差し上げてまいります。
また、不正利用へのご不安を取り除くため、クレジットカード会社のご協力により、不審な利用の監視を続け、不正利用を未然に防ぐ態勢を取っております。お心当たりのない請求がありました場合は、お客さまにご負担をおかけしないよう対処してまいります。
クレジットカードの再発行を希望されるお客さまには、再発行に伴う手数料のご負担がないよう対応させていただきます。

 詳細は、「よくいただくご質問と回答」の欄にてご案内しております>>>

お客さまにおかれましては、2010年1月25日以降のクレジットカードのご利用明細にお心当たりのない請求が含まれていないか、いま一度ご注意をいただきますようお願い申し上げます。お心当たりのない請求がございましたら、ご加入のクレジットカード会社までご連絡くださいますよう、併せてお願い申し上げます。

■情報セキュリティ対策について(2010年8月18日更新)

現在は、すべてのプログラムをスキャンし、安全性を確認したうえでサイトを運営しております。また、第三者機関によるセキュリティ審査をもとに、システム及び運用面でのセキュリティ強化対策に取り組んでまいりました。これまでに行った対策、現在進行中の対策について、以下にご報告いたします。今後の進捗につきましては、引き続き当サイトにてご報告してまいります。

・2010年6月17日までに行った主な対策

・SQLインジェクション対策など、WEBアプリケーションの脆弱性修正
・不正侵入監視機器を設置し24時間体制で監視
・WEBシステム構成の再設計
・ハード機器の再設定(クリアインストールなど)
・お客様のログインパスワードのセキュリティ強化(通知・再取得方法の見直し、8桁英数混合への変更)
・カード決済システムの一時停止

・2010年8月18日までに行った主な対策

・クレジットカード情報の非保持方式(※1)へ変更し、オンライン・カード決済を再開

※1 データベース内にお客様のクレジットカード情報を保持する方式から、クレジットカード情報そのものを保持しない方式に変更いたしました。これにより、当社データベースからカード情報が漏洩する可能性はなくなります。サイバーソース社が提供する「サブスクリプション決済」を導入することで実現いたしました。サイバーソース社はPCIDSS(※2)に準拠している国際的なクレジットカード決済代行法人であり、堅牢性の高いセキュリティレベルで運用できる点を重視し、導入を決定いたしました。

※2 PCIデータセキュリティ基準(Payment Card Industry Data Security Standard)の略。VISA・MasterCard・JCB・American Express・Discoverの国際ペイメントカードブランド5社が共同で策定した、クレジット業界における国際データセキュリティ基準。