株式会社ホワイトプラスは10月20日、同社が運営するハウスクリーニングマッチングサイト「キレハピ」のサーバが第三者からの不正アクセスがあり、個人情報が漏えいした可能性が判明したと発表した。
これは10月11日午前3時30分に、システムエラー通知によって「キレハピ」にアクセスできないことを同社で確認した後、同日午前11時6分にシステムエラーの原因を特定し同サイトを復旧したものの、その過程でクラウドサービス内に外部からの不正アクセスがあったことを午前11時33分に確認、調査したところ攻撃者がシステム管理用のアカウントを利用できる状態にあったことが判明したというもの。現時点で攻撃者が当該アカウントを用いて顧客情報を窃取した痕跡の確認はできていないが、顧客情報にアクセスできる状態であったことから、流出の可能性が全くないとは言い切れないという。
攻撃者が顧客情報に不正アクセスが可能だったのは、10月11日午前3時28分頃から午前11時6分までで、10月11日午前11時6分までに「キレハピ」を利用した全ての顧客の氏名、郵便番号、住所、電話番号、メールアドレス、予約情報(注文サービス内容、決済手段、クーポン利用状況)、事業者とのやり取り情報(テキストメッセージ、日程調整、画像)、対象の期間内にキレハピに口コミ投稿されたお客様の性別、誕生日、プロフィール画像を含む登録情報9,480件が流出した可能性がある。
同社では10月11日の不正アクセス判明後、認証キーの再作成と不正アクセスの経路を遮断している。
同社では10月12日に警察へ被害届を提出、翌10月13日には個人情報保護委員会とIPAへ不正アクセスについて報告を行っている。
これは10月11日午前3時30分に、システムエラー通知によって「キレハピ」にアクセスできないことを同社で確認した後、同日午前11時6分にシステムエラーの原因を特定し同サイトを復旧したものの、その過程でクラウドサービス内に外部からの不正アクセスがあったことを午前11時33分に確認、調査したところ攻撃者がシステム管理用のアカウントを利用できる状態にあったことが判明したというもの。現時点で攻撃者が当該アカウントを用いて顧客情報を窃取した痕跡の確認はできていないが、顧客情報にアクセスできる状態であったことから、流出の可能性が全くないとは言い切れないという。
攻撃者が顧客情報に不正アクセスが可能だったのは、10月11日午前3時28分頃から午前11時6分までで、10月11日午前11時6分までに「キレハピ」を利用した全ての顧客の氏名、郵便番号、住所、電話番号、メールアドレス、予約情報(注文サービス内容、決済手段、クーポン利用状況)、事業者とのやり取り情報(テキストメッセージ、日程調整、画像)、対象の期間内にキレハピに口コミ投稿されたお客様の性別、誕生日、プロフィール画像を含む登録情報9,480件が流出した可能性がある。
同社では10月11日の不正アクセス判明後、認証キーの再作成と不正アクセスの経路を遮断している。
同社では10月12日に警察へ被害届を提出、翌10月13日には個人情報保護委員会とIPAへ不正アクセスについて報告を行っている。
![NTTコミュニケーションズのインシデント、想起されるグループほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/31690.jpg)
