カゴヤの個人情報流出事件の詳細まとめ



レンタルサーバー会社のカゴヤ・ジャパンで、不正アクセスによりユーザーの個人情報が大量に流出するという深刻な事態が発生しました。

2016年9月16日に不正アクセスが確認された旨の情報が発表され、パスワードが流出した可能性があるという理由から強制的にパスワード変更をしたり、クレジットカード決済を停止するなどの状況が発生していたため、よもやと思ってはいましたが、2016年11月9日にようやく、これまでのほぼすべての契約者の個人情報が漏えいしていたという結果が発表されました。

当サイトの管理人もカゴヤのレビューをしているように、カゴヤのユーザーだったため、被害者の一人になってしまいました。

公式サイトの情報の他、サポート窓口に直接確認した内容などをもとに、今回の事件とカゴヤ側の対応などをまとめてみたいと思います。


カゴヤの個人情報流出事件の詳細

まず、今回の事件の発生状況を簡単にまとめると、以下のようです。

・犯人が何らかの形で、カゴヤの複数のユーザーのディスク領域に不正プログラムを設置
・不正プログラムが、カゴヤユーザーの契約情報が含まれているデータベースにアクセスし、情報を取得
・情報が流出し、個人情報が不正に利用される

情報流出が発生した対象期間は「2015年4月1日~2016年9月21日」とされていますが、これは原因となる OS の脆弱性が存在した期間のことで、不正プログラムが動作して、実際に情報が流出した期間は公開されていません。

また、脆弱性があった期間が約 1年半にも渡っていること、問題の発生が確認されてから詳細を発表するまで約 2か月と長いことが気になります。

もちろん、詳細を調査し、クレームに対応する体制を整えるまでに非常に時間がかかるのはわかりますが、被害者の一人としては、もう少し早く対応できなかったのかという思いもあります。



次に、今回流出したユーザーの情報は、以下の 7点です。

・氏名(カード名義人名)
・住所
・電話番号
・メールアドレス
・ご契約アカウント名・パスワード
・クレジットカード番号と有効期限

また、個人情報が流出した可能性のある対象ユーザー数は 48,685件。これは、過去にカゴヤ側を利用していたユーザーも含まれるため、9月21日までに契約した人すべてが含まれるようです。

そのうちクレジットカード情報の件数が20,809件と、約40%近くのユーザーのクレカ情報も流出したことになります。(中には契約中にクレジットカードを変更したなどの理由で、複数のクレカ情報が残っていた可能性もありますので、その場合はもう少し割合は減るかもしれませんが)

カゴヤの場合、本契約以前(試用期間内)でも決済情報を入力しておかなければならないため、試用だけで終わった人の中にも、クレジットカード情報を入力していた人がいるかもしれません。その場合も、被害の対象者になったと考えられます。

サポートに確認しましたが、残念なことに、すでにクレジットカードが不正利用される被害にあったユーザーがいるようです。管理人もクレカ決済を利用していましたが、ありがたいことに現在のところクレジットカードの不正利用が行われた形跡はありませんでした。


今回の事態に対するカゴヤ側の対応と問題点

JCBのカゴヤ情報流出事件に関する告知

公式サイトにあるように、今回の事態に対して、クレジットカード再発行の手数料をカゴヤが負担してくれます。すでにプレスリリースと同時に、JCB や Saison Card など、国内の主要クレカ会社の公式サイトにもその旨が掲載されていました。

また、当然といえば当然ですが、サポートに確認したところ、もしクレカが不正利用されていた場合は、その分も調整してくれるそうです。



気になったのは、今回の件の詳細に関しての通知です。一連の状況については、プレスリリース後にメールと書面にて届きました。ただ、10月9日のプレスリリースの後、対象ユーザーに順次送付したようで、メールが 10日に届く人もいたようですが、管理人の場合は 2日遅れの 11日でした。もしかしたら、もっと後になった人もいるかもしれません。

また、文面も一般向けに書かれたプレスリリースの内容ほぼそのままで、自分が実際に対象なのかどうかよくわからない文面になっています。結局今回の対応のために一時的に創設されたと思われる、専用サポート窓口に連絡して確認する羽目になりました。ただ、サポート窓口に連絡をしても、自分が対象者かどうか分かる、というだけで、基本的にはそれ以上の情報をもらえるわけではありません。



また、さらに後日送られてきた書面には、お詫びということだと思いますが、QUOカード 500円分が同封されていました。

カゴヤからの個人情報流出の件についての書面とQUOカード

サポートに確認したところ、この QUOカードは、クレジットカードの登録があったユーザーに対してのみ送られており、クレカ決済以外を利用していたユーザーには送っていないとのこと。(QUOカードの発送を把握していないオペレーターもいたような状況でした)



確かに、クレジットカードを利用していた場合、クレカの再発行、クレカで引き落としをしている他社の契約の切り替え(クレカ番号の変更)等の手間が発生します。管理人もクレカの再発行のため、クレカの会社や毎月引き落としをしている会社などに連絡したり、番号変更の手続きをしたりなど非常に手間がかかりました。

ただ、クレカの番号は変更さえすれば問題ないと言えば問題ありませんが、氏名や生年月日などの個人情報は変更することができません。

単純に手間を考えればクレカ決済ユーザーのほうが負担が大きいと言えますが、個人情報漏えいという観点から見ると、被害の大きさには変わりがないのではないと思います。



カゴヤも自社でデータセンターを持ってはいるくらいの立派な会社ですが、決して大きな会社ではないので、大きな負担はできないと思います。ただ、きちんとお詫びをすべきところで、このような差をつけるというのはどうかな、と正直思いました。

また、送られてきた手紙やメールにも、QUOカードについては全くどこにも触れられていませんでした。とってつけたように同封されているだけなので、せめて「お詫びとして~」という文面を加えるなどの配慮はあってもいいんじゃないでしょうか。


カゴヤの個人情報流出事件の詳細まとめ

以上、今回のカゴヤの個人情報流出事件について、発表されている情報の他、実際に受けた対応やサポート窓口などに確認した内容も含めてまとめてみました。

このようなトラブルが発生した場合、適切に対処するのは非常に難しく、批判点ばかり目につくのは仕方がないことだと思います。ただ、今回のカゴヤ側の対応は、正直言ってイマイチだったように思います。



カゴヤのサーバーは非常にパフォーマンスが高く、安定しているので非常におすすめできるレンタルサーバーなのですが、今回発生した事件そのものだけではなく、カゴヤ側の対応にも正直いただけない点があったため、本当に残念ではありますが、おすすめランキングのランクを下げさせてもらいました。

ぜひ今回の事件を糧に、よりよいレンタルサーバーの運営を続けていき、もう一度ユーザーの信頼を取り戻していただきたい、と心から思います。



なお、今回の一連の個人情報流出事件の詳細については、カゴヤの公式サイト「不正アクセスによるお客様契約情報流出に関するお詫びとご報告」を参照してください。