2020年12月23日(水)に発表させていただいた、弊社が運営するスマートフォンアプリ「Famm(ファム)」のサーバーが第三者による不正アクセスを受けた事案につきまして、セキュリティ専門企業によるデジタル・フォレンジック(*1)が完了し、第一報・第二報でお伝えしている以上の情報引き出しが確認されなかったこと、今回の攻撃手段による不正アクセス・情報引き出しリスクへの対策が済んでいること、不正アクセス被害を受けた経緯等についてセキュリティ専門企業による確認がとれましたので、ご報告いたします。
ユーザーの皆様、関係者の皆様には、多大なご迷惑・ご心配をおかけし心よりお詫び申し上げます。今後はセキュリティ専門企業の見解を参考により一層システムの監視・情報セキュリティ体制を強化しての運営を行ってまいります。
(*1)不正アクセスやデータ盗用などが発生した際に残るログを収集・分析・鑑識する手段の呼称
1.不正アクセスによる情報引き出しの経緯・経路について
10月9日(金)に攻撃者が弊社クラウドサービスへアクセス可能となる情報を不正に取得し、その情報をもとに弊社が契約しているサーバーへの不正アクセスを行い、同日10月9日(金)に不正に情報を引き出したことが確認されました。
2.不正アクセスにより引き出された情報について
第一報・第二報でお伝えしている情報項目以外の不正な情報引き出しは確認されませんでした。
3.不正アクセス攻撃に対する対策について
10月11(日)にクラウド関連会社から不正アクセス疑いの警告を受け、クラウドおよびセキュリティ関連会社へのヒアリングのもと、不正な情報引き出しの形跡がないかの調査及び調査内容のレビューを実施し、更なるセキュリティ対策を講じたことで、今回と同様の不正アクセス攻撃・不正な情報引き出しに対する措置は10月中旬時点で完了しております。
4.不正な情報引き出し発覚・発表までの経緯について
10月中旬に実施した調査では、不正アクセス自体は一部確認されたものの、不正な情報引き出しがなされた形跡は確認されていませんでした。その後、12月18日(金)の外部からインシデントの懸念がある旨の連絡を起点とした社内の再調査で発覚し、12月23日(水)にユーザーの皆様へパスワードの再設定処理を実施したことのお知らせとお詫びのご連絡を行い、「不正アクセスによる情報流出に関するお詫びとお知らせ(第一報)」を発表しております。
5.追加調査・再発防止対策について
セキュリティ専門企業によるデジタル・フォレンジックが完了し、不正アクセスによる情報引き出しの経路の再確認がなされたこと、第一報・第二報でお伝えしている以上の情報引き出しが確認されなかったことを踏まえ、今回の不正アクセスに関する調査は完了といたします。今回と同様の攻撃手段に対する対策は10月中旬に完了しておりますが、社内で利用する個人情報を取り扱うシステム・ツールのセキュリティ対策の更なる強化・情報管理体制の整備を2020年12月下旬から2021年1月下旬にかけて実施しております。
6.ユーザーからのお問い合わせ・サポート体制について
12月23日(水)の第一報発表以降、本件に関するお問い合わせをいただいているお客様には、専用窓口にて継続しての対応を行っており、今後も引き続き専用窓口での対応を行ってまいります。
本件に関するよくあるご質問/お問い合わせ窓口/退会手順
https://help.famm.us/hc/articles/360054559511
7.調査・第三報発表のスケジュールについて
1月上旬から開始したセキュリティ専門企業によるデジタル・フォレンジックについて、1月下旬の完了・報告を予定しておりましたが、想定以上に解析・調査作業に時間を要したことで、2月中旬での完了、2月19日(金)の発表となり、当初公表しているスケジュールより遅れましたことお詫び申し上げます。
あらためまして、この度はユーザーの皆様、関係者の皆様には、多大なご迷惑・ご心配をおかけする事態となり、誠に申し訳なく、心よりお詫び申し上げます。今回の事態を厳粛に受け止め、情報セキュリティ対策及び監視体制の更なる強化を実施してまいります。
2021年2月19日
株式会社TIMERS
代表取締役 田和晃一郎
不正アクセスによる情報流出に関するお詫びとお知らせ(第二報)
弊社が運営するスマートフォンアプリ「Famm(ファム)」のサーバーが第三者による不正アクセスを受け、ユーザー情報が不正に引き出さた事案につきまして、調査の進展や対応状況のご報告とユーザーの皆様へのご依頼を兼ねた第二報をご案内いたします。
尚、本件に関連したセキュリティリスクがある点に対する処置・対応は済んでおり、第一報公表時点で今回の攻撃手段による不正アクセス・情報引き出しリスクが無いと判断しております。
1.公表後の進展・経緯
12月23日(水)
・ユーザーの皆様へパスワードの再設定処理を実施したことのお知らせとお詫びをアプリとメールで案内
・第一報の公表
・個人情報保護委員会から求められる情報などの追加提出
12月25日(金)
・セキュリティ専門企業との追加の情報交換・一部契約の締結
・セキュリティ専門企業から正式な調査要件・範囲の提示
12月31日(木)
・セキュリティ専門企業への正式な調査を発注
1月4日(月)
・退会申請をいただいていたユーザーの内、不正な情報引き出しの対象となりうるユーザーのメールアドレス(*1)へのご連絡をメールにて送付
1月6日(水)
・第三者機関(上記セキュリティ専門会社)によるデジタル・フォレンジック(*2)が開始。
1月7日(木)
・ユーザーの皆様へ第二報についてのお知らせをアプリとメールでご案内
(*1) 弊社では、ユーザーが退会処理をした場合、お客様からの問い合わせ時に利用・注文履歴を照会できるようにするため、退会申請受付後も一定期間は無効なアドレスに改変しデータを保管させていただいているケースがあります。今回不正に引き出されたメールアドレスのデータ内には、無効なアドレスに改変したデータも含まれます。無効なアドレスを有効化した上でのご案内を順次行っております。
(*2)不正アクセスやデータ盗用などが発生した際に残るログを収集・分析・鑑識する手段の呼称
また、12月23日(水)以降に本件に関するお問い合わせをいただいているお客様には、専用窓口(support@famm.us)にて継続しての対応を行っております。
2.ユーザーの皆様への影響と依頼事項
今回不正に引き出されたデータは第一報でも公表させていただいように、2020年10月9日(金)までにスマートフォンアプリ「Famm」にユーザーが登録したメールアドレス、暗号化されたパスワード(*3)が対象となっております。12月21日(月)にユーザーのアカウントセキュリティ保全のため、対象となるユーザーのパスワードを全て弊社で再設定する処理を実施済です。重ねて、Fammアプリと同一のメールアドレス、パスワードを用いて他のサービスをご利用の方には、当該サービスのログインパスワードをご変更いただくようお願いをしております。
また、一部のお客様より「迷惑メールが増えた・届いた」というお問い合わせをいただいております。身に覚えのないメールや、大手ECサイトなどを装った偽装メールなど、不審に思われるメールが届いた場合は、当該メールに記載されているアドレス・リンクにはアクセスをしないようにお願いいたします。
(*3)暗号化されたパスワードについては、アルゴリズムを用いて不可逆なランダム文字列に置き換え安全に保管する「ハッシュ化」という手法を用いております。
尚、第一報でも公表させていただいているように、アプリにご登録いただいている住所やお子様の誕生日、家族アルバム機能に保存している写真・動画などのデータが不正に引き出された事実は確認されておらず、また、決済にご利用いただくクレジットカード情報については弊社では保存しておりません。
その他、他のFammブランドのサービス(Famm無料撮影会 / Famm年賀状 / Famm出張撮影 / Fammママ専用スクール / Fammプレママ&ママ応援プレゼント / Famm主催のオンラインイベントやウェビナー等)のお客様・ユーザー情報については、第三者による不正アクセスや情報流出などはございません。
3. サポート体制
アプリのお知らせやメールを通じて、本件の詳細とお詫び、パスワードリセットを実施済であること、今後のご利用に際してパスワードの再設定をご案内しております。
Fammアプリのパスワードの再設定手順
https://help.famm.us/hc/articles/115002400271
本件に関するよくあるご質問/お問い合わせ窓口/退会手順
https://help.famm.us/hc/articles/360054559511
4. 今後の取り組み
以下の通り対応を進め、関係者の皆様に随時情報開示を進めてまいります。
1月中旬〜下旬
・第三者機関(上記セキュリティ専門会社)によるデジタル・フォレンジックの実施
・デジタル・フォレンジックに必要な情報提供をはじめとする調査協力
・詳細調査や追加調査に伴う更なるセキュリティ対策強化の実施
・警察関係者や関係機関による捜査・調査への協力
・調査内容の公式アナウンス(第三報)
あらためまして、この度はユーザーの皆様、関係者の皆様には、多大なご迷惑・ご心配をおかけする事態となり、誠に申し訳なく、心よりお詫び申し上げます。今回の事態を厳粛に受け止め、情報セキュリティ対策及び監視体制の更なる強化を実施してまいります。
2021年1月7日
株式会社TIMERS
代表取締役 田和晃一郎
不正アクセスによる情報流出に関するお詫びとお知らせ(第一報)
この度、弊社が運営するスマートフォンアプリ「Famm(ファム)」のサーバーが第三者による不正アクセスを受け、ユーザー情報が不正に引き出されたことが判明しました。ユーザーの皆様、関係者の皆様には、多大なご迷惑・ご心配をおかけする事態となり、誠に申し訳なく、心よりお詫び申し上げます。
詳細な経緯は下記の通りとなりますが、ユーザーがアプリに登録したメールアドレスや暗号化されたパスワード最大535,015件を含む情報が不正に引き出された事実が確認されております。尚、アプリにご登録いただいているクレジットカード情報については弊社では保存しておらず、引き出された事実はございません。
初動対応として、原因・流出経路についての調査・特定を行なっております。セキュリティリスクがある点に対する処置・対応は済んでおり、現時点では今回の攻撃手段による不正アクセス・情報引き出しリスクが無いと判断しております。また、並行して12月21日(月)には警察関係者への情報提供、専門機関へ所定の届出も行なっております。
更なる詳細については、現在セキュリティ専門家・関連企業に依頼して事実関係の調査を進めており、専門家の調査結果で新たなことが判明し次第、改めてお知らせするとともに必要な対応・対策を講じて参ります。
1.経緯
これまでの経緯は以下の通りです。
12月18日(金)
・外部からインシデントの懸念がある旨の連絡を受け取る
・インシデントに関する調査開始
・不正アクセスにより10月9日(金)に情報が引き出されている事実・攻撃手段を確認
・原因となるセキュリティリスクについては既に処置・対応済であり、今回の攻撃手段による不正アクセス・情報引き出しリスクが12月18日(金)時点で既に無いことを確認
・セキュリティ専門家を交えた追加調査や更なるセキュリティ強化対策の検討開始
12月19日(土)-20日(日)
・社内チームによる追加調査の実施
・ユーザーのアカウント保全の為の取り組みの策定、専用問い合わせ窓口設置の準備を開始
・クラウド関連会社への事案の報告と情報交換
12月21日(月)
・対象となるユーザーのパスワードの再設定処理を実施
・警察関係者への情報提供、及び独立行政法人 情報処理推進機構(IPA)に不正アクセスの届出を実施
・セキュリティ専門企業との共同調査の手続きを開始
12月22日(火)
・個人情報保護委員会への報告を実施
・本件に関する専用問い合わせ窓口の設置
12月23日(水)
・ユーザーの皆様へパスワードの再設定処理を実施したことのお知らせとお詫びをアプリとメールで案内
尚、2020年10月11日(日)にクラウド関連会社から不正アクセス疑いの警告ならびに2020年11月16日(月)にユーザー様からセキュリティ事象についてお問い合わせをいただきました。その際にFammアプリのサーバーのセキュリティに関連して、クラウドおよびセキュリティ関連会社へのヒアリングのもと、不正な情報引き出しの形跡がないかの調査及び調査内容のレビューを実施し、更なるセキュリティ対策を講じておりました。10月及び11月に実施した2度の調査では、不正アクセスは一部確認されたものの、不正な情報引き出しがなされた形跡は確認できませんでした。
12月の不正引き出しが発覚した時点で10月に講じたセキュリティ対策の内容を再度精査し、結果的に当時の対策で今回の不正な引き出し攻撃に対する措置が行われていたことを確認しました。今後につきましては、セキュリティ専門会社との共同調査を行ってまいりますので、調査結果等につきましては12月下旬から1月を目処に第二報としてお知らせをさせていただく予定です。
2.ユーザーの皆様への影響
今回不正に引き出されたデータは、2020年10月9日までにスマートフォンアプリ「Famm」を利用した最大143万件のユーザーのテーブルが対象となっており、そのうちアプリにユーザーが登録したメールアドレス(最大535,015件 *1 *2)、暗号化されたパスワード(最大535,015件 *3)、氏名(最大243,617件)、アカウント表示名(最大185,073件)、生年月日(最大235,970件)、ユーザーが登録したユーザーアイコン画像のURL(最大 102,763件 *4)等が対象となります。
(*1)ユーザーがメールアドレスを登録していない場合には、弊社が指定するダミー文字列がメールアドレスのかわりに登録されており、ダミー文字列を除いた件数となります。
(*2)ユーザーが退会処理をした場合、弊社では一定期間お客様からの問い合わせ時に利用・注文履歴を照会できるようにするため、退会申請受付後も一定期間は無効なアドレスに改変しデータを保管させていただいているケースがあり、そちらも含まれます。
(*3)暗号化されたパスワードについては、アルゴリズムを用いて不可逆なランダム文字列に置き換え安全に保管する「ハッシュ化」という手法を用いております。
(*4)ユーザーがユーザーアイコンの画像を登録していない場合には、弊社が仮で当て込む画像のURLがあり、そちらを除いた件数となります。
尚、アプリにご登録いただいている住所やお子様の誕生日、家族アルバム機能に保存している写真・動画などのデータが不正に引き出された事実は確認されておらず、また、決済にご利用いただくクレジットカード情報については弊社では保存しておりません。
その他、他のFammブランドのサービス(Famm無料撮影会 / Famm年賀状 / Famm出張撮影 / Fammママ専用スクール / Fammプレママ&ママ応援プレゼント / Famm主催のオンラインイベントやウェビナー等)のお客様・ユーザー情報については、第三者による不正アクセスや情報流出などはございません。
3.対策
初動対応として、セキュリティ専門企業とともに原因・流出経路についての調査・特定を行なっております。現時点では今回の攻撃手段の経路特定・経路遮断は完了しており、今回の攻撃手段以外のセキュリティ強化も実施をしております。
12月21日(月)にはお客様のアカウント保護の万全を期すため、対象ユーザーのパスワードの再設定を行い、アプリへは元のパスワードでログインできないようになっておりますので、あらためてユーザー様ご自身での再設定のお願いをさせていただいております。
Apple ID, Google ID, Facebookでのログインを利用の方については、当該サービスで利用されているパスワードは弊社では保存しておりませんので、今回の不正アクセスに関連してご自身でパスワードの再設定を行う必要はございません。
4.ユーザーの皆様へのサポート体制
アプリのお知らせやメールを通じて、本件の詳細とお詫び、パスワードリセットを実施済であること、今後のご利用に際してパスワードの再設定をご案内しております。また、退会申請をいただいていたユーザー様には個別に順次ご連絡を差し上げる予定です。
Fammアプリのパスワードの再設定手順
https://help.famm.us/hc/articles/115002400271
本件に関するよくあるご質問/お問い合わせ窓口/退会手順
https://help.famm.us/hc/articles/360054559511
※Fammアプリと同一のメールアドレス、パスワードを用いて他のサービスをご利用の方は、当該サービスのログインパスワードをご変更いただくようお願いいたします。
5.今後の取り組み
以下の通り対応を進め、関係者の皆様に随時情報開示を進めてまいります。
12月下旬〜1月
・セキュリティ専門会社による詳細調査、および更なるリスクがないかの追加調査
・詳細調査や追加調査に伴う更なるセキュリティ対策強化の実施
・警察関係者や関係機関による捜査・調査への協力
・調査内容の公式アナウンス(第二報)
あらためまして、この度はユーザーの皆様、関係者の皆様には、多大なご迷惑・ご心配をおかけする事態となり、誠に申し訳なく、心よりお詫び申し上げます。今回の事態を厳粛に受け止め、情報セキュリティ対策及び監視体制の更なる強化を実施してまいります。
2020年12月23日
株式会社TIMERS
代表取締役 田和晃一郎