外部調査機関によるフォレンジック調査を行い、PCI DSS準拠などの対策を予定(ベクター)

2012年4月26日8:51

ベクターは、2012年3月22日に公表した不正アクセスによる顧客情報流出の可能性に関して、4月25日に最新状況の報告を行った。

2012年3月21日2時30分頃、同社一部サーバに異常が発生し、システム担当者が対応したところ、3月19日20時55分頃~3月21日0時頃までにかけて、4回の不正アクセスと思われる痕跡があることを発見し、調査を開始した。

その結果、不正アクセスが検知されたサーバのネットワークから切り離し、クレジットカード会社の要請に基づきクレジットカード決済を停止、ラックとベライゾンジャパンの外部調査機関2社への調査依頼を実施した。

不正アクセスされた個人情報を保持するサーバには、 2008年2月以降に、同社でソフトウェアを購入された人、同社PC向けオンラインゲームで、課金サービスを利用した人のうち、個人情報の一部(最大で26万1,161件)が保存されており、その一部にはクレジットカードの情報も含まれていた。

同社では、3月21日以降、調査対策委員会を設置。外部調査機関2社と連携し、原因究明および被害実態の継続的な調査、調査結果に基づく対策を行っている。

同社は、セキュリティ強化に関して専門会社のアドバイスを受けながら対策を実施。これまでに、ファイアウォールの設定強化ならびに業務別ネットワークセグメント間のアクセス制限強化により、不正アクセスの排除を行った。また、社内業務用として保持すべき個人情報を大幅に削減するとともに、保持する重要情報に関しては暗号化を実施。さらに、通信を監視・制限する専用機器を設置し、社内外からの通信を専門会社による常時監視体制下に置くことで、異常アクセスの検知・遮断を可能にした。

また、今後は、ネットワーク構成全体の見直しによる堅牢なセキュリティの実現、さらなるアクセス権限の厳格化による社内セキュリティレベルの向上、ペイメントカード業界の国際セキュリティ基準である「PCI DSS」の取得とクレジットカード決済サービスの再開を予定している。

これまでに実施した各種セキュリティ強化対策により、現時点の調査結果では、個人情報を保持しているサーバに対しては、3月23日12時10分以降、不正アクセスならびに痕跡を検知していない。これらの結果より、同社としては、個人情報に関する一定の安全性確保ができたと公表している。

同社では現在、専門会社2社との協力のもと、不正アクセスの経路・手段ならびに実際の被害の調査を継続している。当該専門会社からの調査完了は6月中となる見込みで、この結果を受けて最終結果を報告する予定だ。

page toppagetop