ポルシェ　不正アクセスによる顧客情報流出　調査結果の最終報告

2018.04.11 17:30 掲載 2021.11.08 01:48 更新

全て見る
4枚

もくじ

ー 1　外部機関による調査
ー 2　流出した顧客情報の範囲
ー 3　再発防止策等

F1、伝説のコース設計者　手がけた70のコース　4つの質問

1　外部機関による調査

データフォレンジックを専門とする外部機関に以下の事項の調査業務を委託し、2018年3月30日に調査結果を受領した。

1-1　流出した情報の範囲を特定するための調査

調査対象機器：当該委託先においてポルシェ・ジャパンの顧客の情報を保存していた各種サーバー（過去に交換されたものを含めて現存するもの全て）

調査手続き：アクセスログ分析、脆弱性診断、その他のコンピューターフォレンジック

1-2　不正アクセス判明後に当該委託先が実施した不正アクセス対策の妥当性及び網羅性の検証

調査対象機器：当該委託先においてポルシェ・ジャパンの顧客の情報を保存する（現行の）サーバー

調査手続き：当該委託先によるウェブアプリケーションを不正アクセス対策のために修正した作業の妥当性および網羅性の確認

2　流出した顧客情報の範囲

上記の外部機関による追加調査の結果、2018年2月26日に公表した際の初動調査によってはポルシェ・ジャパンにて確認できなかった顧客情報の流出が今回新たに確認された。

最終的にわかった流出データは以下のとおり。

2000年から2009年の間に、サイトを通じてカタログ請求をした顧客のデータベース

流出した情報・電子メールアドレス
・カタログ請求の際に設定をされたパスワード

流出した可能性のある他の情報・カタログ請求の際に申し出た氏名
・郵便番号
・住所
・電話番号
・性別
・生年月日
・職業
・年収
・クルマの所有
・台数
・メーカー
・車種
・年式
・トランスミッション
・ポルシェ車購入予定の有無
・購入予定時期
・希望カタログ車種
・販売店名称

件数2万3151件

2015年7月に弊社が実施したEメールアドレスキャンペーンへ応募した顧客のデータベース

流出した情報電子メールアドレス

流出した可能性のある他の情報氏名

件数5568件

2012年から2016年の間に、サイトを通じてポルシェスポーツドライビングスクール（PSDS）の資料請求をした顧客、及び2017年4月から2018年1月の間に、サイトを通じてPSDSのメールマガジンに登録した顧客のデータベース

流出した情報・電子メールアドレス
・資料請求の際に設定をされたパスワードをハッシュ化したもの

件数最大2855件

なお、今回新たに流出が確認された顧客には個別にお知らせしている。

今回新たに確認された流出情報も含めて、流出した情報又は流出した可能性のある情報には、クレジットカードに関する情報、信用情報、ポルシェの製品又はサービスに関する取引履歴は含まれない。

3　再発防止策等

3-1　不正アクセスへの対応

今回の不正アクセスにおいて確認された外部からの攻撃への耐性を備えるよう、当該委託先は、ウェブアプリケーションの修正を実施した。

そして、今回の外部機関による調査の結果、上記ウェブアプリケーションの修正により、当該攻撃への対策として独立行政法人情報処理推進機構が推奨する対策が実施されていることが確認された。

不正アクセスを行った第三者は、不正アクセスのログをもとに調査をしているが、特定には至ってない。引き続き警察と連携して対応する。

3-2　再発防止への取り組み

不正アクセスが判明して以降、当該委託先のサーバーを用いてポルシェ・ジャパンが運営しているウェブサイトにおいては、顧客情報を新たに預かることを中止しているほか、これまで預っている顧客情報は外部から物理的に遮断されたところに保存している。

こちらについては、今後、システムの再構築、及び不正アクセス攻撃への耐性に関する第三者によるセキュリティ診断の実施など、安全性を担保するために必要な措置を行ったうえで再開する予定。

・システム開発におけるセキュリティに関する審査手続きの厳格化

・顧客情報を取り扱う新規又は既存のシステムに対する第三者によるセキュリティ診断の実施

・顧客情報を取り扱う委託先のセキュリティ対策に対する監査