Vectorのサーバに不正アクセスが行われた事案の最終報告発表、窃取されたカード情報は463件

2012年3月にベクターのサーバに対する不正アクセスがあり個人情報窃取の疑いがあった事案で、ベクターと外部調査機関2社による調査内容の最終報告が発表されました。

【ベクター】当社サーバへの不正アクセスに対する調査結果（最終報告）

この事案は、3月21日にベクターの一部サーバに異常が発生、調べたところ19日から21日にかけて4回にわたってというもの。不正アクセスが行われたのはベクターの顧客情報を保持しているサーバで、蓄積されていたのはクレジットカードのデータも含む最大26万1161件の情報。最悪の場合はこれが全流出したのではないかとみられていました。

弊社サーバーへの不正アクセスに関するお知らせ « ベクター IR・会社情報

不正アクセスによるお客様情報流出の可能性に関するお知らせ « ベクター IR・会社情報

ベクターではこの流出をユーザに通知、社内に事故対策委員会を設け、また株式会社ラックとベライゾンジャパン合同会社の協力を仰いで調査を開始しました。その結果、攻撃者がシステムに侵入して決済システムのプログラムを改竄したことが判明。改竄プログラム経由で463件のクレジットカード情報が窃取されたとのこと。このカード情報はPC向けオンラインゲームを利用した人のもので、ソフト販売やモバイルゲーム利用の人の情報は含まれていません。

また、PC向けのオンラインゲームポータル「GAMESPACE24」ではIDとパスワードの流出嫌疑があり、被害は確認されていないものの、6月にシステムを改定し全ユーザのパスワード変更を実施しました。上記の通り、当初は被害は最大で26万件というリリースもありましたが、調査によって、463件以外の窃取はないと判断されました。

ベクターでは「アクセス制限の強化」「個人情報の削減と暗号化」「専用機器の設置ならびにモニタリングの開始」「システムの再構築」「ID、パスワードシステムの強化」「PCIDSSの取得」「クレジットカード決済の再開およびクレジットカード情報の非保持」の7点について対策を行い、今後、さらに「ネットワーク構成全体の見直しによる堅牢なセキュリティの実現」「アクセス権限のさらなる厳格化による社内セキュリティレベルの向上」「サーバおよびクライアントPCの設置・運用・廃棄管理の厳格化」などについて対策を進めていくとのこと。