このたび、Matchが主催するイベント開催時にオンライン販売を委託していたPeatix Japan株式会社において、第三者による不正アクセスを受け、個人情報が引き出されたことが判明しました。
Peatixを利用してイベントに参加のお申し込みをいただいた方に、多大なるご迷惑及びご心配をおかけし、イベント主催者として深くお詫び申し上げると伴に、
Peatixより報告を受けた【本件に関する第三者調査機関による調査結果と今後の対応について】を
改めてお知らせいたします。
1.問題の発生日時、経緯
弊社は、2020年11月9日、弊社が保有しているデータから由来すると思われるデータが、個人情報を売買する外部ウェブサイト上で販売されている不正アクセスデータのリストに追加された形跡があることを確認しました。これを受けて、弊社は直ちに、第三者調査機関を起用し、調査を行いました。その結果、主に2020年10月16日から10月17日にかけて行われた一連の不正アクセスにより、お客様の個人情報を含むお客様情報の一部(氏名、メールアドレス、暗号化されたパスワードなど)が最大677万件不正に引き出された事実が2020年11月12日に判明しました。
2.不正引き出しの対象であるお客様情報
Peatixに登録されているお客様に関する以下の情報が、最大で677万件不正に引き出されたことを確認しました。
- アカウント表示名
- 氏名
- アカウント登録メールアドレス
- 言語設定
- アカウントが作成された国
- タイムゾーン
- 暗号化されたパスワード
なお、クレジットカード情報及び金融機関口座情報などの決済関連情報並びにイベント参加履歴、参加者向けのアンケートフォーム機能で取得したデータ、住所、電話番号などの情報が引き出された事実は確認されませんでした。
3.判明した事実等
不正引き出しを行った者(以下「攻撃者」といいます。)は、2020年10月16日から17日にかけて、海外IPアドレス経由で、弊社データベースの一部に不正にアクセスし、弊社データベース上に保存されていた最大677万件の上記お客様情報を不正に引き出しました。2020年10月18日以降、不正アクセスは確認されておりません。
なお、第三者調査機関による調査の結果、SQLインジェクションやDoS攻撃といった脆弱性攻撃によるサーバーへの不正侵入又はマルウェアなどによる不正なデータアクセスは確認されませんでしたが、攻撃者の属性及び不正アクセスの具体的方法の詳細については、技術的に特定できないとのことでした。
4.問題の程度
最大677万件の上記お客様情報が不正アクセスにより引き出されていることを確認いたしました。なお、これまでに今回の不正アクセスに起因する具体的な財産的被害等の発生は確認されておりません。
また、第三者調査機関による調査の結果、上記お客様情報が保存されていたデータベース以外が影響を受けたことを示す指標は確認されず、上記お客様情報以外のデータが不正に取得された証拠も確認されませんでした。
5.お客様へのご報告
- 公式ホームページ
2020年11月17日にPeatixホームページのサイトに「Peatixへの不正アクセス事象に関するお詫びとお知らせ」(https://announcement.peatix.com/20201117_ja.pdf)を掲載し、2020年11月20日に「お客様から多く寄せられるご質問について」(https://about.peatix.com/securityfaq.html)を追加掲載しました。 - 電子メールによるご連絡
2020年11月17日より全てのお客様に対して、この度の不正アクセスによる事案に関するお詫びとお知らせならびに注意喚起のメールをお送りし、2020年11月23日に送信を完了しました。
6.問題への対応
弊社は、2020年11月14日、データベースに対するセキュリティを強化することにより、今回の不正アクセスの経路を遮断しました。
また、2020年11月15日、Peatixアカウントのセキュリティの万全を期すため、Peatixアカウントに係る全てのパスワードを無効化し、パスワードの再設定が必須となる措置を行いました。さらに、お客様に向けて、Peatixで利用していたパスワードと同一のものを他社サービスでも利用している場合にはパスワードの変更を行って頂くよう、注意喚起を行いました。加えて、本件に関する専用のカスタマーサポートセンターを2020年11月17日に開設しました。
なお、弊社は個人情報保護委員会を含む関係当局に対して今回の不正アクセス事象について報告を行っております。
7.再発防止策
今後も関係法令等の遵守を徹底するとともに、第三者調査機関による助言に基づく再発防止策及び更に安全性を高めるための弊社独自の再発防止策として、技術対策、運用対策及び組織対策の観点から、以下の対策を講じます。
- 不正アクセスの侵入経路の遮断 (対応済み)
具体的には下記を含む様々なセキュリティ強化施策を実施しました:- クラウド環境の各種セキュリティ強化
- インフラ及びソフトウェアのモニタリング強化
- 不正や異常を検知するための仕組みの追加導入
- 運用体制の強化 (準備中)
- よりセキュアなネットワークの構築(対応済み)
- セキュリティ技術会社との継続的な協働による追加セキュリティ施策の検討と社内教育の実施
- セキュリティを専門領域とする人材の追加採用
- 「Peatix(https://peatix.com/)」サービスにおけるセキュリティ強化 (準備中)
- 従前より採用しているアルゴリズムと比較して、より強固なアルゴリズムを用いたパスワードの暗号化(対応済み)
- アカウント新規登録時におけるメールアドレス認証の導入
- 一部機能におけるアカウント多要素認証の必須化
8.お客様へのお願い
Peatixアカウントのパスワードの再設定がまだお済みでないお客様はパスワードの再設定をお願いいたします。パスワードの再設定手順につきましては、ヘルプページ(https://help-attendee.peatix.com/ja-JP/support/solutions/articles/44001821765 )をご参照ください。
Peatixで利用されていたパスワードと同一のものを他社サービスでもご利用の場合は、他社サービスに利用されているパスワードも速やかにご変更いただきますようお願いいたします。
不審なメールを受信した場合「メールを開かない・添付ファイルを開かない・メール内URLをクリックしない」など、迷惑メール、フィッシングメールなどに十分ご注意ください。
9.本件に関するお問い合わせ窓口
「よくいただくご質問とその回答」をPeatixサイト(https://about.peatix.com/securityfaq.html)に掲載しております。
Peatix Japan株式会社(英文表記:Peatix Japan K.K.)
お客様(日本語対応のみ):
E-MAIL cs@peatix.com(土日祝日・年末年始を除く10:00〜18:00 にご返答差し上げます。)
上記以外の方:
E-MAIL mediacontact@peatix.com