証券コード:3919

アパレル特化型ECプラットフォーム「スパイラルEC®」における
不正アクセスによる個人情報流出に関するお知らせとお詫び

 当社のグループ会社である株式会社パイプドビッツが提供する、アパレル特化型ECプラットフォーム「スパイラルEC®」において、外部からの不正アクセスがあり、お預かりしているお客様の個人情報が不正に閲覧された可能性と、個人情報流出の痕跡が判明しました。
 本件不正アクセスの概要と対応につきまして、下記のとおりご報告するとともに、お客様はもとより関係者の皆様に対し、多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。また、発生から被害状況の確認までに時間を要してしまいましたことを重ねてお詫び申し上げます。

更新履歴

更新日 概要 更新企業
PB FD WH
2016/7/27 安全性確認及び脆弱性診断の結果報告 詳細情報 お知らせ お知らせ
2016/7/15 「応急的な対応」に関する追加報告
「再発防止」に関する追加報告
詳細情報 お知らせ お知らせ
2016/6/30 「応急的な対応」に関する追加報告
「再発防止」に関する追加報告
「再発防止」に関する補足説明
詳細情報 お知らせ お知らせ

PB・・・株式会社パイプドビッツ、FD・・・株式会社フレンディット、WH・・・株式会社ウェアハート

当社代表及びパイプドビッツ代表による報告動画

安全性確認及び脆弱性診断の結果報告について

パイプドHD株式会社 代表取締役社長 グループCEO 佐谷宣昭及び株式会社パイプドビッツ 代表取締役社長 CEO 林哲也より、パイプドビッツが提供するサービスについて、一定の安全性が確認できたことをご報告いたします。
動画中で、現状のシステムの安全性確認及び脆弱性診断の内容と、今後の安全性強化策についても合わせてご報告しております。

スパイラルEC®への不正アクセスによる個人情報流出について

パイプドHD株式会社 代表取締役社長 グループCEO 佐谷宣昭及び株式会社パイプドビッツ 代表取締役社長 CEO 林哲也より、本件の概要、経緯及び対応策等をご報告いたします。

 1.不正アクセスの概要について

(1)影響範囲

 1)流出の痕跡が認められる個人情報
 グループ会社である株式会社ウェアハートが運営する「NET ViVi Coordinate Collection」における下記の個人情報につきましては、個人情報を含む注文履歴情報がダウンロードされた形跡がありました。

 なお、会員ID及びパスワードは注文情報に含まれず、クレジットカード情報は、決済代行業者が保有し当システムでは保有していないため流出しておりません。また、現時点で、お客様のポイント不正利用や不正注文の履歴はなく、個人情報を悪用された等の報告もございません。

 2)「スパイラルEC®」を利用しECサイトを運営している43社53サイト314名の管理画面にアクセスする運営者のログインID及び暗号化されたログインパスワードにつきましては、第三者に閲覧された可能性が高いと判断しております。なお、このデータのファイル出力、転送、ダウンロード等は、なされておりません。

 3)上記のうち40社42サイトにおける個人情報を含む約98万件の会員データにつきましては、第三者がアクセスした可能性を排除できないことから、一部が不正に閲覧された可能性があります。なお、このデータのファイル出力、転送、ダウンロード等は、なされておりません。

 4)2社2サイトが利用している決済代行サービスとの連携設定が第三者に閲覧されました。その他、22社24サイトの同設定が閲覧された可能性があります。なお、このデータのファイル出力、転送、ダウンロード等は、なされておりません。また、連携している決済代行サービス会社に当該システムから不正接続がなかったことを確認しました。本設定及び注文番号により注文金額を引き下げることが可能になりますが、現時点で悪用等の報告はございません。

(2)発覚の経緯

 平成28年6月7日に株式会社ウェアハートから、未出荷にも関わらず売上確定ステータスになっている異常な注文についての問い合わせがありました。これを受けて株式会社パイプドビッツが調査したところ、不審なIPアドレスからのアクセスが判明し、その後の調査により不正アクセスによる個人情報流出と断定しました。

(3)原因

 悪意のある攻撃者により、システムの脆弱性を突くサイバー攻撃が実施されました。攻撃者の不正アクセスにより、ウィルスチェックをくぐり抜けた不正なファイル(マルウェア)がサーバに設置され、より本格的なバッグドアツールが展開されました。そのバッグドアから、管理画面へアクセスするログインID等を搾取された結果、運営者になりすましたログインがあり、注文履歴情報のダウンロードに至りました。

 2.実施した対応策について

 同様の手口による不正アクセスを防止する措置の対応を完了しております。
 速やかに攻撃元IPアドレスとの通信を遮断し、攻撃者によって設置されたバッグドア等の不正プログラムを駆除しました。サーバにおいて、不要なPUTメソッドを無効化したことによりシステム脆弱性を解消し、今回の攻撃が成立しないシステム構成に修正しました。
 さらに、PHP等の許可すべきでないコンテンツへのアクセス制限や、システム監視項目の拡充を通じて、不正なファイルが設置されたとしても実行を阻止し、速やかに検出できるようにしました。
 また、「スパイラルEC®」全ユーザーに対して、ログインパスワード変更及びIPアドレス制限設定を依頼し、閲覧経路の限定を進めております。
 なお、所轄警察、総務省、経済産業省、一般財団法人日本情報経済社会推進協会(JIPDEC)、BSIグループジャパン株式会社(BSIジャパン)等の外部機関への一次報告を完了しております。

 3.今後の対応策について

 当社グループは、このたびの事態を厳粛に受け止め、二度とこのような事態を起こさぬよう全力を挙げて再発防止に取り組み、個人情報の保護に万全を尽くす所存でございます。
 第三者機関であるセキュリティ専門会社の調査結果をもとに脆弱性等の課題に対処するなど、セキュリティレベルを強化し、人的/組織的体制の更なる整備を推進します。お客様に安心してご利用いただけるサービスの提供を最重要課題として、不正アクセスなどの犯罪行為には厳正に対処してまいります。
 パイプドHD株式会社は、スパイラル®シリーズ以外のシステムを提供するグループ各社(ペーパレススタジオジャパン株式会社、株式会社アズベイス、株式会社パブリカ等)を含むすべてのグループ会社におけるシステム監視体制の強化を推進し、従前にも増して、セキュリティ強化/徹底を図り、グループ全体で再発防止と信頼の回復に努めてまいります。
 株式会社パイプドビッツは、平成28年7月1日付にて社長直轄の「不正アクセス対策室」を新設し、提供サービスに対する定常的な脆弱性の診断や、脆弱性攻撃手法の監視、防御に対する調査/研究を専門的に行う人員を配置する予定です。
 なお、パイプドビッツが提供する「スパイラル®」、「スパイラル プレース®」、「ネットde会計®」等のプラットフォームについては、システム構成上、同様の手口による不正アクセスは成立しません。不審なファイルが設置されていないことを調査済みであり、万が一、不正なプログラムが設置された場合でも、当該プログラムを自動で検知する仕組みを設置し、監視できる体制を整えております。

 4.業績への影響について

 本件が当社グループの今期業績に与える影響につきましては、現在のところ軽微であると認識しておりますが、今後、業績に大きな影響を生じる事態が発生した場合は、速やかにお知らせいたします。

 5.ご参考

 本件の詳細をご報告するWebページを公開しました。本件に関する新たな事実が判明した場合は、随時ご報告申し上げます。

企業名 特設ページ
株式会社パイプドビッツ 発生現象、影響範囲、流出原因、応急対応、攻撃発生経緯の時系列、対応経緯の時系列、一連の攻撃についての推測、認識している問題点、他プラットフォームへの影響、再発防止策、FAQなど、詳細にご報告しております。

▼「「SPIRAL EC®」への不正アクセスによる個人情報流出について」(パイプドビッツWebサイト)
URL: http://www.pi-pe.co.jp/pb/info/
株式会社ウェアハート 本件の概要のほか、「NET ViVi Coordinate Collection」の購入者へのご案内などを、女性ファッション誌「ViVi」を発行する株式会社講談社とともにご報告しております。

▼「不正アクセスによる個人情報流出に関するお知らせとお詫び」(ウェアハートWebサイト)
URL: http://wearheart.co.jp/info/
株式会社フレンディット 本件の概要のほか、販売している「スパイラルEC®」をご利用いただいているクライアントへのサポート内容や、設定変更のご依頼などをご報告しております。

▼「スパイラルEC® 不正アクセスによる個人情報の流出及び閲覧可能性に関するお知らせとお詫び」(フレンディットWebサイト)
URL: http://www.friendit.co.jp/info/
パイプドHD株式会社 ▼IRリリース「アパレル特化型ECプラットフォーム「スパイラルEC®」における不正アクセスによる個人情報流出に関するお知らせとお詫び」(2016年6月22日発表)
URL: https://www.pipedohd.com/news/2016/20160622_01.html

 6.本件に関するお問い合わせ先

投資家・株主様お問合せ先 パイプドHD株式会社
https://www.pipedohd.com/
TEL:03-6744-8039 FAX:03-3585-0620
お問い合わせフォーム
IR統括部
報道関係者様お問合せ先 パイプドHD株式会社
https://www.pipedohd.com/
TEL:03-6744-8039 FAX:03-3585-0620
お問い合わせフォーム
広報部
「NET ViVi Coordinate Collection」のお客様からの
お問い合わせ先
株式会社ウェアハート
http://wearheart.co.jp/
TEL:0120-984-501
お問い合わせフォーム
NET ViVi CC事業部
ご契約がある法人様からのお問い合わせ先 株式会社パイプドビッツ
http://www.pi-pe.co.jp/
TEL:03-5575-6601 FAX:03-5575-6677
お問い合わせフォーム

 FAQ

本件に関するご質問と当社からの回答を以下に掲載しております。

※記載された社名や製品名は各社の登録商標または標章です。
※内容は発表日現在のものです。予告なしに変更になる場合がありますので、あらかじめご了承ください。

本ページの公開日:2016年6月22日
本ページの更新日:2016年7月27日