令和2年3月27日


お客様及び関係者各位


ソフト・オン・デマンド株式会社
代表取締役 野本 義晃


弊社運営の「SODプライム」における個人情報等流出に関するお詫び及びお知らせ(続報)


このたび,弊社運営の「SODプライム」(以下,「弊社サイト」といいます。)において,会員登録をされたお客様の情報の一部が,他のお客様から閲覧可能となる事象が発生していたことに関して,
3月19日付け「弊社運営の「SODプライム」における個人情報等流出に関するお詫び及びお知らせ」(以下,「前回報告」といいます)に引き続いて,調査状況と,ご迷惑をおかけ致しましたお客様への対応の方針について,
ご報告させていただきます。

本件により,お客様及び関係者各位に,多大なるご迷惑をおかけしていること,さらには,弊社サイトが未だ再開できない状況であることについても,改めて深くお詫び申し上げる次第です。

1.本件の事故原因等の調査結果


(1)前回報告からの訂正事項
本件の事故の経緯につきましては,大筋,前回報告で公表致しました時系列のとおりとなりますが,詳細に調査した結果,時系列について,下記の点が明らかとなったため,大変恐縮ですが,訂正致します。

・3月16日に,初めてCDNサービスの利用を開始(及びメンテナンスモードを解除)したのは,19時23分ではなく,12時24分となります。
その後,16時25分に一旦メンテナンスモードに切り替え,19時23分にこれを解除致しましたが,当該12時24分から16時25分の間についても,
本件の事故の時間帯に含まれることとなります。


・3月17日に初めてメンテナンスモードを解除したのは,8時25分ではなく,3時21分となります。その後,4時3分に一旦メンテナンスモードへ切り替え,
8時25分にこれを解除致しましたが,当該3時21分から4時3分の間についても,本件の事故の時間帯に含まれることとなります。
なお,「個人情報をキャッシュしない」,「画像/JS/CSSのみキャッシュで設定」等の対策を施したのは,3月16日22時57分から,3月17日3時21分の間となります。


・3月17日の21時に,弊社サイトをメンテナンスモードへ切り替えておりますが,こちらは21時08分ではなく,21時01分となります。


・以上から,弊社サイトにアクセスしたお客様の情報の一部が,他のアクセスしたお客様に閲覧できる状態になっていた可能性のある時間帯(以下,「本件事故の時間帯」といいます)は,
最大限で以下のとおりです
3月16日 12:24~16:25
3月16日 19:23~22:57
3月17日 03:21~04:03
3月17日 08:25~21:01

(2) 本件の事故原因の調査
弊社サイトへのアクセス数の急激な増大に対応するべく,3月16日から17日にかけて,ページを表示する為のサーバー(以下,「フロントサーバー」といいます)について,
急遽CDNサービスの利用を行うこととなりましたが,その際,本来はキャッシュされるべきでない情報がCDNにキャッシュされてしまったことが本件の事故の原因である
との調査報告がベンダよりなされております。

なお,弊社は,他のお客様の情報が閲覧できてしまうという事象を踏まえて,3月16日22時57分に一度,弊社サイトをメンテナンスモードに切り替えております。
その際,本来キャッシュされるべきでない個人情報を含んだページ等がCDNにキャッシュされている可能性があるため, 3月17日3時21分までの間に,
「個人情報をキャッシュしない」,「画像/JS/CSSのみキャッシュで設定」といった設定をサーバーに施しました。

上記の設定上,個人情報がCDNにキャッシュされることはないため,同様の事象は発生しないとの判断から,弊社サイトを3時21分に再開致しました
(その後,別の不具合修正のため4時3分にメンテナンスモードへ移行し,8時25分に再開させております。)。
しかし,再開後,再び他のお客様の情報が閲覧できるとの連絡があり,3月17日21時01分に,弊社サイトをメンテナンスモードへ移行させました。

一度行った対応策が奏功しなかった原因については,何らかの理由で,サーバー側の設定が,CDNサービスでは適切に反映されなかったため,
キャッシュされるべきでない情報がキャッシュされてしまった可能性があるとの報告を受けておりますが,現時点でも,サーバー側の設定が,CDNサービスに反映されなかった原因は
完全に特定するに至っておりません。
しかしながら,フロントサーバーについて,CDNサービスの利用を開始したことが,本件事故の直接的な原因であることは明らかになっており,
セキュリティの専門業者からも同趣旨の意見を頂いております。

したがいまして,弊社と致しましては,まずは,弊社サイト(ec.sod.co.jp)のDNSからCDNサービスに関するレコードを外し,フロントサーバーが,
CDNサービスによってキャッシュされないよう対策を行いました。
なお,CDNサービスのいずれのキャッシュを閲覧可能であったかは特定することができなかったため,当該お客様の情報を,どのお客様が閲覧したかについて,明確に特定することはできませんでした。
一方で,本件事故の時間帯にアクセスされたお客様の総数は,68,898人となっており,延べアクセス回数は,2日間の合計で147,689回ですから,
最大では,68,898人のお客様の情報が閲覧可能となっていたものと考えられます。
また,上記68,898人のうち,お客様のニックネーム、メールアドレス及び会員ステータスに加えて,配送情報のご登録があるお客様の数は,564人でした。

2.再発防止策と再開見込時期について

今後,弊社サイトを再開するに際しては,再度同種の事故が起こりえないよう,細心の注意を払って,現在,ベンダ及び情報セキュリティの専門業者と共同して,復旧作業に当たっているところです。
なお,対策としては,以下の項目を行う予定でおります。

①本件の直接の原因であることが明らかになった,フロントサーバーについてのCDNサービスの利用については,CDNサービス利用のない従前構成に復旧を行ないます。
*本件の直接の原因であることが明らかになった,フロントサーバーについてのCDNサービスの利用については,CDNサービス利用のない従前構成に復旧を行ないます。
*なお,弊社サイトは,従前から,動画や画像等の静的コンテンツが含まれる配信系サーバーと,それ以外のサーバーを分けて構築されており,配信系サーバーにはCDNサービスを使用しておりました。
配信系サーバーには,お客様の情報が含まれないため,お客様の快適な利用のため,今後もCDNサービスを使用させて頂きますが,細心の注意を払い運用するよう心がけてまいります。


②新規サービスを開始する際,アクセス数が膨れ上がる場合の対応策を事前に準備するよう致します。


③本件の直接の原因のみならず,弊社サイト全体について,情報セキュリティの専門業者等の協力のもと,個人情報が流出する可能性を検査し,強固なシステムを構築致します。


また,弊社サイトの再開については,少なくとも,上記①について,ベンダのみならず,情報セキュリティの専門業者からも問題ない旨の意見を貰ってからになる見込みです。

なお,現時点では,弊社サイトの再開予定は,4月10日ころを見込んでおりますが,作業状況により,前後することもありますのでご容赦ください。

3.お客様への弊社としての対応方針

本件事故の時間帯にアクセスされたお客様につきましては,お客様情報の一部が閲覧可能な状態になっていたことを踏まえまして,弊社から,
該当するお客様に対して,メールによって個別に御連絡をさせていただき,適切な対応を取らせていただくことを予定しております。
お心当たりのあるお客様は,弊社からのメールをご確認いただきたく,お願い申し上げます。

弊社と致しましては,他のお客様に閲覧された可能性のあるお客様情報の性質を踏まえて,以下のとおり,対応させていただく予定でおります。

①配送情報のご登録があるお客様で,かつ配送情報にアクセスされたケース。

上記のお客様に関しましては,氏名等の情報が閲覧された可能性があることを踏まえまして,金銭のみで解決できる問題ではありませんが,
弊社の誠意として,金5,000円を支払わせていただきたく考えております。
個別に該当の方へ,お支払い方法について,御連絡させていただきたく思いますのでどうぞよろしくお願いいたします。


②上記以外の情報を閲覧された可能性があるお客様のケース。

上記のお客様に関しましては,氏名等の情報ではございませんが,メールアドレスという個人にアクセス可能な情報であるという重要性を十分勘案した上で,
弊社の誠意として,弊社サイトにおいて,500ポイントを付与させていただきましたので,弊社サイトが再開され次第,ご利用いただければと思います。
なお,本件事故の時間帯にクレジットカード決済がなされていたお客様への対応は,以下のとおりとさせていただきます。

①本件事故の時間帯の決済分について
ⅰ 本件事故の時間帯に,クレジットカード決済された商品につきましては,他のお客様による決済が可能になっていたことを踏まえまして,
オンラインで視聴可能な商品(ストリーミング,ダウンロード,月額会員への入会等)は,すべて,売上処理及び購入処理を取消しさせていただきます。
ⅱ ただし,購入された商品がDVDなどの,現実の配送が必要となる商品につきましては,個別にお客様に,売上処理及び購入処理の取消しが必要か否か,
お問い合わせさせていただき,お客様のご意向に沿う形で対応させていただきます。


②月額会員の皆様に関しまして
弊社サイトの,月額会員として加入されている方につきましては,弊社サイトが閉鎖していることにより,視聴できない状況が続いておりますので,
1ヶ月分の返金対応(売上処理及び購入処理を取消し)とさせていただき,弊社より個別に連絡させていただきます。


③令和2年3月13日から弊社サイト停止に至るまでの決済分
弊社サイトが令和2年3月13日以降,トラフィックの混雑により閲覧しづらい状況が続いておりましたので,令和2年3月13日以降から,
本件時間に至るまでの間に決済されたお客様につきましては,同時間帯に決済いただいた金額を返金対応(売上処理及び購入処理を取消し)とさせていただきます。
弊社サイトが再開致しましたら,ご利用いただければと思います。



弊社が本件に関して連絡させていただくアドレスは,以下のとおりとなります。弊社を騙る,第三者にはお気をつけいただけますよう,よろしくお願いいたします。

ec-otoiawase@sod.co.jp


なお,個別の連絡及びポイントの付与につきましては,早急に行うよう鋭意努力致しますが,連絡まで,お時間をいただくこともございますので,
何卒ご容赦いただけますよう,お願い申し上げます。

【お問い合わせ先】

ソフト・オン・デマンド株式会社
SODプライムカスタマーサポートセンター
e-mail:ec-otoiawase@sod.co.jp

令和2年3月19日


お客様及び関係者各位


ソフト・オン・デマンド株式会社
代表取締役 野本 義晃


弊社運営の「SODプライム」における個人情報等流出に関するお詫び及びお知らせ


このたび,弊社運営の「SODプライム」(以下,「弊社サイト」といいます。)において,会員登録をされたお客様の情報の一部が,他のお客様から閲覧可能となる事象が発生していたことが判明しました。

本件により,お客様及び関係者各位に,多大なるご迷惑をおかけしていることにつきまして,深くお詫び申し上げます。

本件事案の把握後,弊社は,速やかに弊社サイトへのアクセスを遮断したうえで,情報セキュリティの専門業者に協力を依頼し,原因究明と,弊社サイトを再開するにあたっての安全性確保のための作業を進めているところです。
現時点で判明している暫定的な情報について,お知らせ致します。

1. 本件の経緯

本件の現在に至る時系列は,以下のとおりです。

・3月16日(月)19:23 弊社のアクセス集中対策のためにCDNサービスの利用を開始した。

・3月16日(月)22:50 弊社契約のクレジット決済代行会社から,「利用者から,『自分のアカウントでログインしたら,他人のアカウントに切り替わった』との連絡があった」 との通報を受ける。

・3月16日(月)22:57 弊社サイトを,急遽メンテナスモードへ切替え,弊社サイトへのアクセスを強制シャットダウン。
弊社サイトのベンダーから,「キャッシュされるべきでない情報がキャッシュされている」との連絡を受け,
「個人情報をキャッシュしない」,「画像/JS/CSSのみキャッシュで設定」等の対策実施。

・3月17日(火)08:25 上記の対策が完了したとして,弊社サイトのメンテナンスモードを解除し,サービスを再開。

・3月17日(火)21:03 お客様から,弊社宛に「自分のアカウントでログインしたら,他人のアカウントに切り替わった」旨の連絡。

・3月17日(火)21:08 弊社サイトのサーバーを,再度,メンテナスモードへ切替え,弊社サイトへのアクセスを強制シャットダウン。現在に至るまで,メンテナンスモードを継続中。

2. 弊社サイトにアクセスしたお客様の情報の一部が,他のお客様に閲覧可能であった状態の詳細について

(1) 弊社サイトにアクセスしたお客様の情報の一部が,他のアクセスしたお客様に閲覧できる状態になっていた可能性のある時間帯は,最大限で以下のとおりです。

3月16日 19:23~22:57
3月17日 08:25~21:08


(2)お客様の情報の一部が,他のお客様に閲覧できる状態になっていた場合は,現時点では,以下のとおりと推測しております。

①上記(1)の時間帯に,弊社サイトにログインをしたお客様の情報。

②上記①の情報を閲覧できたのは,上記(1)の時間帯に,弊社サイトにログインをしたか、弊社サイトのお客様ページにアクセスした別のお客様であること。

③ただし、上記①の情報を閲覧できたのは、情報の混在が生じた場合であるものの、その割合などについては調査中であり、現段階では判明しておりません。

*お客様の情報が,データベースとして,一括して閲覧可能であったものでなく,個別のお客様のアクセスに対応して,個別の他のお客様の情報が表示されるという状況になっていたものです。
*詳細な情報については,情報セキュリティの専門業者による調査が進み次第,速やかに報告させていただく予定です。

(3) 閲覧可能であったお客様の情報は,ログインした際に閲覧可能であった情報であって,以下のような情報となります。
【アカウント情報ページ】(マイページにアクセスされた場合)
・ニックネーム
・メールアドレス
・購入履歴
・視聴履歴
・レビューリスト
・投稿動画
・会員ステータス

【配送情報のご登録があるお客様で、かつ配送情報にアクセスされた場合】
・氏名
・住所
・電話番号

*クレジットカード情報については,弊社において保存しておらず,クレジットカード情報について,他のお客様が閲覧できる状態にはなっておりません。
*会員登録されたお客様であっても,配送情報のご登録がないお客様については,氏名・住所・電話番号が,他のお客様に閲覧される状態にはなっておりません。

(4) 閲覧可能であったこと以外の事象
上記のとおり,クレジットカード情報自体は他のお客様から閲覧可能ではありませんでした。
ただし,弊社サイトの決済代行会社において,上記の時間帯における購入履歴の確認を行っており,上記(1)の時間帯に,
決済がありましたお客様に対しては,弊社から,個別に決済内容について確認の御連絡をさせて頂きます。

3.今後の対応

現在,弊社は,情報セキュリティの専門業者に対して,本件の原因究明及び,弊社サイト再開にあたっての安全性確保措置を依頼しており, 安全性の担保ができるまで,弊社サイトのサービスは休止させていただきます。
また,弊社と致しましては,本件事案の原因の究明をしたうえで,適切な再発防止策を取り,かつ,お客様の被害状況を可能な限り特定したうえで,
最大限,お客様のご不安を解消すべく進めて参ります。
お客様及び関係者の皆様には,多大なるご迷惑をおかけしたこと,深くお詫び申し上げます。

【お問い合わせ先】

ソフト・オン・デマンド株式会社
法務部 舟山
電話:03-5328-7120
e-mail:houmuotoiawase@sod.co.jp