2008年09月07日
今後の対策について
前回問い合わせていたメールに回答が来ました。
>全桁クレジット番号漏れは確実に無いということでしょうか?
>また、ヤフー・楽天経由での個人情報流出も確実に無いということでよろしいのでしょうか?
はい、どちらもないと認識しております。
まずナチュラムより確証が取れました。
コメントいただきましたが、楽天経由のみの買い物をした顧客にもカード変更の連絡がカード会社から来た件は、流出の有無に係わらず与信用に保存していた番号全桁および、楽天・ヤフー経由のカード情報をカード会社と共有した結果のようです。
そのためカード会社側の事前対策として、カード再発行の手続きを行った事例もあるようです。
>個別問合せを行い、購入履歴が確認できれば、5%オフの対象となるということでよろしいでしょうか?
>また、その還元方法はどのようになりますか?
>ポイントでしょうか?それとも指定口座等への振込みでしょうか?
>(ポイントの場合、購入機会がない対象者はやは>り意味がありませんが...)
7/9~8/5にご購入いただきました分につきましては5%割引対象期間(8/6~10/31)にお買い物の機会がない方に関しましてはポイント付与もしくはご返金対応(口座への返金または現金書留での返金)とさせて頂いております。
ポイント、現金の両方に対応しているようです。
期間中に買い物をしている人は、必ず対応をとってもらいましょう。
>この件についての対象者は、「情報漏えいの可能性のある利用者」ではなく、「メールや電話よる問合せ者」などいわゆる「お詫び対象者」とは異なるものになりますでしょうか?
感謝の気持ちを形にする件につきましては今回のお詫びとは別のものでございます。ですので「メールや電話で問い合わせ頂いた方」といった事はございません。詳細につきましては検討中ですが会員様向けで考えております。
会員向けのようです。
ただし、通知はサイトで告知されずにメールによるものだけなので、届かない場合もありえます。
漏洩の第一報メールが届かなかった人は、今回も届かない可能性があります。
また、漏洩の経緯にたいしてIR情報が発表されました。
「ミネルヴァグループのセキュリティ対策に関するご報告」
http://financedl.yahoo.co.jp/company/3090/3090-105900424921.pdf
これを読む限りでは「最終的にはSQLインジェクション攻撃に対して、当社のシステムがエラーを応答してもなおSQLインジェクションの実行結果を表示する、というセキュリティ専門会社でも初めてみる特殊なSQL文を使われていたとの報告を受けております。」とのことで、一応不運だった部分もあるということで。
(発表や対応は別問題ですが…)
ちなみに、どんな方法だったんだろう。すごく気になります。
情報セキュリティ計画としては、第4プロセスまで計画されているようで、現在は第1プロセスのみ完了の状態。
すべて実行されれば、ECサイトの中でも相当強固なシステムになりそうです。
今後はこのセキュリティ計画の実行を見守っていきたいと思います。
僕自身、カード交換などの手間はありましたが、金銭的な被害はありませんでした。
仮にクレジットカードを不正利用されても、カード会社のほうで対応してくれますし。
この話題が早々と風化していく雰囲気になったのは、自分に実被害がなかったことも一つの要因だと思うのです。
今回の情報漏えい問題で、不正利用が金銭的被害に直結するクレジットカード情報に焦点が当たりがちですが、むしろ変更できない個人情報が回ってしまっていることに僕はもっと目を向け、なにかあったときに自己対応できるようにしていかなければいけないと思っています。
>全桁クレジット番号漏れは確実に無いということでしょうか?
>また、ヤフー・楽天経由での個人情報流出も確実に無いということでよろしいのでしょうか?
はい、どちらもないと認識しております。
まずナチュラムより確証が取れました。
コメントいただきましたが、楽天経由のみの買い物をした顧客にもカード変更の連絡がカード会社から来た件は、流出の有無に係わらず与信用に保存していた番号全桁および、楽天・ヤフー経由のカード情報をカード会社と共有した結果のようです。
そのためカード会社側の事前対策として、カード再発行の手続きを行った事例もあるようです。
>個別問合せを行い、購入履歴が確認できれば、5%オフの対象となるということでよろしいでしょうか?
>また、その還元方法はどのようになりますか?
>ポイントでしょうか?それとも指定口座等への振込みでしょうか?
>(ポイントの場合、購入機会がない対象者はやは>り意味がありませんが...)
7/9~8/5にご購入いただきました分につきましては5%割引対象期間(8/6~10/31)にお買い物の機会がない方に関しましてはポイント付与もしくはご返金対応(口座への返金または現金書留での返金)とさせて頂いております。
ポイント、現金の両方に対応しているようです。
期間中に買い物をしている人は、必ず対応をとってもらいましょう。
>この件についての対象者は、「情報漏えいの可能性のある利用者」ではなく、「メールや電話よる問合せ者」などいわゆる「お詫び対象者」とは異なるものになりますでしょうか?
感謝の気持ちを形にする件につきましては今回のお詫びとは別のものでございます。ですので「メールや電話で問い合わせ頂いた方」といった事はございません。詳細につきましては検討中ですが会員様向けで考えております。
会員向けのようです。
ただし、通知はサイトで告知されずにメールによるものだけなので、届かない場合もありえます。
漏洩の第一報メールが届かなかった人は、今回も届かない可能性があります。
また、漏洩の経緯にたいしてIR情報が発表されました。
「ミネルヴァグループのセキュリティ対策に関するご報告」
http://financedl.yahoo.co.jp/company/3090/3090-105900424921.pdf
これを読む限りでは「最終的にはSQLインジェクション攻撃に対して、当社のシステムがエラーを応答してもなおSQLインジェクションの実行結果を表示する、というセキュリティ専門会社でも初めてみる特殊なSQL文を使われていたとの報告を受けております。」とのことで、一応不運だった部分もあるということで。
(発表や対応は別問題ですが…)
ちなみに、どんな方法だったんだろう。すごく気になります。
情報セキュリティ計画としては、第4プロセスまで計画されているようで、現在は第1プロセスのみ完了の状態。
すべて実行されれば、ECサイトの中でも相当強固なシステムになりそうです。
今後はこのセキュリティ計画の実行を見守っていきたいと思います。
僕自身、カード交換などの手間はありましたが、金銭的な被害はありませんでした。
仮にクレジットカードを不正利用されても、カード会社のほうで対応してくれますし。
この話題が早々と風化していく雰囲気になったのは、自分に実被害がなかったことも一つの要因だと思うのです。
今回の情報漏えい問題で、不正利用が金銭的被害に直結するクレジットカード情報に焦点が当たりがちですが、むしろ変更できない個人情報が回ってしまっていることに僕はもっと目を向け、なにかあったときに自己対応できるようにしていかなければいけないと思っています。
2008年09月03日
公開されない情報があります
なんだかすっかり風化気味ですね。
他ブログでもほとんど扱われなくなったような。
ただ、僕は色々はっきり知っておきたいので、この話題もう少し書き込んでいきます。
現在3通のメールをやり取りしています。
1通目:8/12送信→8/16返信あり
2通目:8/22送信→9/1返信あり(10日放置されたので電話して催促。その日の夜22時過ぎに返信あり)
3通目:9/2送信→返信待ち
コールセンターの方は丁寧に対応してくれました。
コールセンターとメール返信している部署とは異なるようで、平謝りでした。
やり取りをしている上で、サイト上に告知されていない情報がいくつかあります。
今後の判断材料として情報共有できればと思っています。
・クレジットカード番号は下4桁を保持していないとしているが、実際は与信用に全桁保持しているサーバーがある。
こちらに関しては、以下のURLにて触れられてはいます。
http://itpro.nikkeibp.co.jp/article/NEWS /20080804/312073/
この事はご報告とお詫びページの「2.不正アクセスの内容 及び今後の対応」の「(4)クレジットカード会社との協調について」で表記されてはいますが、流出情報として含まれていないため、見落としがちです。
http://www.minerva-hd.com/faq_c_080806/top_080806.html
2通目の返信に全桁保持しているサーバーへの不正アクセスを受けた痕跡は無いとの回答が来ていますが、
本当に確実に全桁流出は無いのか、再確認中です。(不正アクセスの痕跡と全桁流出の可能性は別問題だと思うので)
どちらにしてもまだクレジットカードを再発行していない人は手続きを行い、数ヶ月は明細をチェックするのが無難です。
楽天及びヤフー経由の利用は大丈夫だったのか?
情報漏えいの発表はナチュラム本体のみで、楽天及びヤフーの販売サイトでは全く告知されていません。
その理由として、今回不正アクセスを受けた「顧客マスタ」に登録されていたのは「ナチュラム本店PCショップ」「ナチュラム本店モバイルショップ」「ブログ@ナチュラム」にて登録されていた個人情報であり各モール店の情報は含まれない為というのがナチュラムからの回答です。
ただし、「楽天しか使っていないのにカード会社から情報が流出したと連絡が来た」という方もいるようなので、こちらについても本当に確実に流出が無いのか再確認中です。
・10末までの5%オフ以外に個別対応されている例がある。
批判を浴びまくった10末までの5%オフですが、購入の機会がない流出対象者には全く意味の無いものになっています。
その対応策として、問合せのあった人に対し流出の発覚した7/9以降の買い物を対象に5%割引している例があります。
この5%オフについて、ポイントによるものか、指定口座等への現金振込みかは現在確認中。全く購入しない人にポイントは意味が無いですからね。
なお、この対応策はサイト等で一切告知されていませんし、今後発表の予定も無いそうです。
・9末に別の対応策がある予定。
基本的にお詫び方法としては10末までの5%オフで変わりません。
しかし、多数問合せ・批判があったことからナチュラムではこれを「叱咤・激励」と受け止め、「感謝の気持ち」として新たな対応策を検討しています。
2通目の返信では「現段階で詳細を検討中」とのことだったのですが、電話で問い合わせた際に「500円分のクーポンコードをメール送信」と言われた方もいるようです。
この件については対象者に直接メール連絡するそうで、やはりサイト等で一切告知されませんし、今後発表の予定も無いそうです。
5%引き等の対応は過去流出した同様の案件と比べて、極端に悪いとは思っていません。
やはりその告知の仕方ですね。
上記で上げたものもサイトでは告知されませんし、対象者にメールを送るという手法もイマイチ軽く見えてしまいます。(そもそも情報漏えいの第一報を受け取れていないユーザーも少なくない様子)
後の祭りかもしれませんが、早い段階で書面での告知を行っていればと思わずにいられません。
いや、いまからでも遅くないと思います。
他ブログでもほとんど扱われなくなったような。
ただ、僕は色々はっきり知っておきたいので、この話題もう少し書き込んでいきます。
現在3通のメールをやり取りしています。
1通目:8/12送信→8/16返信あり
2通目:8/22送信→9/1返信あり(10日放置されたので電話して催促。その日の夜22時過ぎに返信あり)
3通目:9/2送信→返信待ち
コールセンターの方は丁寧に対応してくれました。
コールセンターとメール返信している部署とは異なるようで、平謝りでした。
やり取りをしている上で、サイト上に告知されていない情報がいくつかあります。
今後の判断材料として情報共有できればと思っています。
・クレジットカード番号は下4桁を保持していないとしているが、実際は与信用に全桁保持しているサーバーがある。
こちらに関しては、以下のURLにて触れられてはいます。
http://itpro.nikkeibp.co.jp/article/NEWS /20080804/312073/
この事はご報告とお詫びページの「2.不正アクセスの内容 及び今後の対応」の「(4)クレジットカード会社との協調について」で表記されてはいますが、流出情報として含まれていないため、見落としがちです。
http://www.minerva-hd.com/faq_c_080806/top_080806.html
2通目の返信に全桁保持しているサーバーへの不正アクセスを受けた痕跡は無いとの回答が来ていますが、
本当に確実に全桁流出は無いのか、再確認中です。(不正アクセスの痕跡と全桁流出の可能性は別問題だと思うので)
どちらにしてもまだクレジットカードを再発行していない人は手続きを行い、数ヶ月は明細をチェックするのが無難です。
楽天及びヤフー経由の利用は大丈夫だったのか?
情報漏えいの発表はナチュラム本体のみで、楽天及びヤフーの販売サイトでは全く告知されていません。
その理由として、今回不正アクセスを受けた「顧客マスタ」に登録されていたのは「ナチュラム本店PCショップ」「ナチュラム本店モバイルショップ」「ブログ@ナチュラム」にて登録されていた個人情報であり各モール店の情報は含まれない為というのがナチュラムからの回答です。
ただし、「楽天しか使っていないのにカード会社から情報が流出したと連絡が来た」という方もいるようなので、こちらについても本当に確実に流出が無いのか再確認中です。
・10末までの5%オフ以外に個別対応されている例がある。
批判を浴びまくった10末までの5%オフですが、購入の機会がない流出対象者には全く意味の無いものになっています。
その対応策として、問合せのあった人に対し流出の発覚した7/9以降の買い物を対象に5%割引している例があります。
この5%オフについて、ポイントによるものか、指定口座等への現金振込みかは現在確認中。全く購入しない人にポイントは意味が無いですからね。
なお、この対応策はサイト等で一切告知されていませんし、今後発表の予定も無いそうです。
・9末に別の対応策がある予定。
基本的にお詫び方法としては10末までの5%オフで変わりません。
しかし、多数問合せ・批判があったことからナチュラムではこれを「叱咤・激励」と受け止め、「感謝の気持ち」として新たな対応策を検討しています。
2通目の返信では「現段階で詳細を検討中」とのことだったのですが、電話で問い合わせた際に「500円分のクーポンコードをメール送信」と言われた方もいるようです。
この件については対象者に直接メール連絡するそうで、やはりサイト等で一切告知されませんし、今後発表の予定も無いそうです。
5%引き等の対応は過去流出した同様の案件と比べて、極端に悪いとは思っていません。
やはりその告知の仕方ですね。
上記で上げたものもサイトでは告知されませんし、対象者にメールを送るという手法もイマイチ軽く見えてしまいます。(そもそも情報漏えいの第一報を受け取れていないユーザーも少なくない様子)
後の祭りかもしれませんが、早い段階で書面での告知を行っていればと思わずにいられません。
いや、いまからでも遅くないと思います。
2008年08月13日
ナチュラムにメールにて問い合わせ中
今回の件について、まとめサイトが立ち上げられました。
ナチュラム個人情報漏洩問題 まとめwiki
http://wiki.livedoor.jp/kyokuto_sanbaka/
現在までの動きや関連リンク、ナチュラムの不穏な動き(?)が掲載、随時更新されています。
その中で一番大事なのは、「この漏洩に対する防衛策」 についてです。
漏洩の可能性がある方は、まずこれら対策を取りましょう。
・退会はしないこと 何故なら、今後の補償に際して不利になる可能性があるため
・クレジットカード番号を一度でも入力したことがある人は、カードの再発行手続きをとること
・同じIDやパスワードを使用している他サイトのID、パスワードを変更すること
・変なメールは絶対に開かないこと
・ナチュラムを使っていた友人とか居たら、念のため告知
僕もこれら対策を行うと共に、いくつかの質問をナチュラムにしました。
現在は電話のほうが連絡しやすいようですが、文書として残すためあえてメールにしています。
相当込み合っているようで、「返信が遅れます」という内容のメールが来ている状態。
いつ回答が来るのか。
ことが収束するまで、商品広告のバナーは外すことにしました。
通常ブログにそろそろ戻ろうと思いますが、商品リンクもしばらく別なところに貼ろうかと思います。
ナチュラム個人情報漏洩問題 まとめwiki
http://wiki.livedoor.jp/kyokuto_sanbaka/
現在までの動きや関連リンク、ナチュラムの不穏な動き(?)が掲載、随時更新されています。
その中で一番大事なのは、「この漏洩に対する防衛策」 についてです。
漏洩の可能性がある方は、まずこれら対策を取りましょう。
・退会はしないこと 何故なら、今後の補償に際して不利になる可能性があるため
・クレジットカード番号を一度でも入力したことがある人は、カードの再発行手続きをとること
・同じIDやパスワードを使用している他サイトのID、パスワードを変更すること
・変なメールは絶対に開かないこと
・ナチュラムを使っていた友人とか居たら、念のため告知
僕もこれら対策を行うと共に、いくつかの質問をナチュラムにしました。
現在は電話のほうが連絡しやすいようですが、文書として残すためあえてメールにしています。
相当込み合っているようで、「返信が遅れます」という内容のメールが来ている状態。
いつ回答が来るのか。
ことが収束するまで、商品広告のバナーは外すことにしました。
通常ブログにそろそろ戻ろうと思いますが、商品リンクもしばらく別なところに貼ろうかと思います。
2008年08月11日
個人情報漏洩問題について
8月6日の突然の発覚からそろそろ1週間が経ちそうなナチュラムの情報漏洩問題。
僕が見落としているだけかもしれませんが、意外にもナチュブロではあまり波風が立っていない印象。→多くの方が言及されています。
今回の件で、新たに立ち上げられたブログもあります。
リンク先の管理者様、情報共有ということでご了承ください。
「ナチュラム情報漏洩被害者」
http://hacking.naturum.ne.jp/
「アウトドア専門店なのにインドアな対応」
http://ryusyutu.naturum.ne.jp/
僕は過去複数枚のクレジットカードを使用していたため、不正利用が無いかの照会を行い、カードの破棄、カード再発行手続きを取りました。
幸いにして、現在のところ不正利用の形跡はありませんでした。
カード再発行手数料及びもし不正利用されても費用は無料です。ただ、この先数ヶ月は明細をチェックしてくださいと、カード会社のオペレータさんより指導がありました。
利用している方はまずは一度カード会社に連絡してください。
【個人情報は漏れているのか?】
8月6日の発表メールの後、調査の結果漏れていないとされる人達には2通目のメールが来ているとの情報もあります。(そもそも全くメールが来ていない人もいるらしい)
僕のところには着てないので、漏洩したと考えています。
漏れた情報はクレジットカード番号を含む個人情報の他、ナチュブロのIDやパスワード。
ナチュブロを見たところ、実際に不正使用をされたという方もいらっしゃいますし、クラックされたようなブログも存在します。
http://waterlandcrazyfisher.naturum.ne.jp/
※リンク先のブログではリンクのクリック等は行わないでください!コンピューターウイルスに感染する恐れがあります。
ちなみにこのCNN偽装は大量のスパムメールとしても注意喚起されています。
参考: 「ウイルスをFlash Playerに見せかける」、偽のCNNニュースに注意
http://itpro.nikkeibp.co.jp/article/NEWS/20080807/312405/
【ナチュラムの対応に疑問】
第一に発表が遅れすぎているということ。
万全なシステムと顧客対応云々と発表されているが、発覚後約1ヶ月間、通常運営されていたということ。
その間、何も知らない僕達は無防備な状態で買い物していたというわけ。
はい、僕も期間中に買い物しました(;´Д`)
発表が早ければ、1ヶ月早くカード利用の照会やカード変更など対処できたわけです。
ナチュラムの発表前にカード会社から不正利用の疑いがある旨、直接連絡が来た人もいます。
それぐらい時間がかかっているのです。
一方、それに連動する形で、不自然な株価や組織変更。
ECサイト運営を子会社することで、最悪トカゲの尻尾よろしく切り捨てることも考えている?なんともグレーな憶測も持ち上がっています。
8月7日発表後(?)システムの解せない現象が見られてます。
「彼方からの風 ブログ閉鎖のお知らせ」
http://kingbanana.naturum.ne.jp/e589749.html
「ブラックバスを釣りたい まだまだ危ないぞ、ナチュラムの個人情報漏洩」
http://suroisu.blog109.fc2.com/blog-entry-133.html
「教えて!blog@naturum -1ポイント・・・?」
http://faq.naturum.ne.jp/e591748.html
【お詫びは本当にお詫びなのか】
「お詫びとして5%引き」は本当にお詫びなのでしょうか?
僕はポイントやブログアフィリエイトのこともあるので、今後すぐにナチュラムからの購入を止めることはないのですが、大体の人は「二度と購入するか!」と思いますよね、普通。
カード変更にはそれ相応の手間がかかりますし、場合によっては手数料がかかるケースもあるようです。
現時点ではそれらを一切保障しないとのこと。→FAQより、ナチュラムが負担するとあります。
その一方で、今回の件に全く関係の無い新規IDで購入した場合もしっかり割引対象となります。
退会による既存客のポイント消化&新規客の販売促進。そう映っても仕方が無い?
今後どのように収束していくのでしょうか...
今回の件で、新たに立ち上げられたブログもあります。
リンク先の管理者様、情報共有ということでご了承ください。
「ナチュラム情報漏洩被害者」
http://hacking.naturum.ne.jp/
「アウトドア専門店なのにインドアな対応」
http://ryusyutu.naturum.ne.jp/
僕は過去複数枚のクレジットカードを使用していたため、不正利用が無いかの照会を行い、カードの破棄、カード再発行手続きを取りました。
幸いにして、現在のところ不正利用の形跡はありませんでした。
カード再発行手数料及びもし不正利用されても費用は無料です。ただ、この先数ヶ月は明細をチェックしてくださいと、カード会社のオペレータさんより指導がありました。
利用している方はまずは一度カード会社に連絡してください。
【個人情報は漏れているのか?】
8月6日の発表メールの後、調査の結果漏れていないとされる人達には2通目のメールが来ているとの情報もあります。(そもそも全くメールが来ていない人もいるらしい)
僕のところには着てないので、漏洩したと考えています。
漏れた情報はクレジットカード番号を含む個人情報の他、ナチュブロのIDやパスワード。
ナチュブロを見たところ、実際に不正使用をされたという方もいらっしゃいますし、クラックされたようなブログも存在します。
http://waterlandcrazyfisher.naturum.ne.jp/
※リンク先のブログではリンクのクリック等は行わないでください!コンピューターウイルスに感染する恐れがあります。
ちなみにこのCNN偽装は大量のスパムメールとしても注意喚起されています。
参考: 「ウイルスをFlash Playerに見せかける」、偽のCNNニュースに注意
http://itpro.nikkeibp.co.jp/article/NEWS/20080807/312405/
【ナチュラムの対応に疑問】
第一に発表が遅れすぎているということ。
万全なシステムと顧客対応云々と発表されているが、発覚後約1ヶ月間、通常運営されていたということ。
その間、何も知らない僕達は無防備な状態で買い物していたというわけ。
はい、僕も期間中に買い物しました(;´Д`)
発表が早ければ、1ヶ月早くカード利用の照会やカード変更など対処できたわけです。
ナチュラムの発表前にカード会社から不正利用の疑いがある旨、直接連絡が来た人もいます。
それぐらい時間がかかっているのです。
一方、それに連動する形で、不自然な株価や組織変更。
ECサイト運営を子会社することで、最悪トカゲの尻尾よろしく切り捨てることも考えている?なんともグレーな憶測も持ち上がっています。
8月7日発表後(?)システムの解せない現象が見られてます。
「彼方からの風 ブログ閉鎖のお知らせ」
http://kingbanana.naturum.ne.jp/e589749.html
「ブラックバスを釣りたい まだまだ危ないぞ、ナチュラムの個人情報漏洩」
http://suroisu.blog109.fc2.com/blog-entry-133.html
「教えて!blog@naturum -1ポイント・・・?」
http://faq.naturum.ne.jp/e591748.html
【お詫びは本当にお詫びなのか】
「お詫びとして5%引き」は本当にお詫びなのでしょうか?
僕はポイントやブログアフィリエイトのこともあるので、今後すぐにナチュラムからの購入を止めることはないのですが、大体の人は「二度と購入するか!」と思いますよね、普通。
カード変更にはそれ相応の手間がかかりますし、場合によっては手数料がかかるケースもあるようです。
その一方で、今回の件に全く関係の無い新規IDで購入した場合もしっかり割引対象となります。
退会による既存客のポイント消化&新規客の販売促進。そう映っても仕方が無い?
今後どのように収束していくのでしょうか...
画像一覧 