ページ内を移動するためのリンクです

ここから本文です

  • ホーム
  • お知らせ
  • 弊社サーバーに対する不正アクセスに関するお詫びとご報告

2021年6月16日

関係各位

スポーツクラブNAS株式会社

弊社サーバーに対する不正アクセスに関するお詫びとご報告

 2021年4月2日、弊社のサーバー(以下「本件サーバー」といいます。)に対する外部からの不正なアクセスにより、弊社の一部の店舗(計9店舗)で運用しておりました会員管理システム(以下「本件システム」といいます。)に障害が発生いたしました。皆様に多大なるご迷惑とご心配をお掛けいたしますこと、深くお詫び申し上げます。また、システム復旧の検討、情報漏洩の調査ならびに本件サーバーに保管されていた個人情報の抽出・精査に時間を要し、ご報告が大変遅くなりましたこと重ねてお詫び申し上げます。

 調査専門会社により調査を行ったところ、今回本件サーバーが感染したランサムウェアが情報を窃取するタイプのものではないということもあり、調査専門会社からは2021年5月18日時点において、お客様等の情報が外部サイトにおいて公開されている事実は確認できていないとの報告を受けております。

 今後も、当面の間、外部の調査専門会社の協力のもと、外部サイトにお客様等の情報が公開されていないかの調査を行ってまいります。

 なお、現在まで、お客様等の情報が利用されたことによる二次被害は確認されておりませんが、本件に関するお問い合わせ等の情報の集約のため、コールセンターを設置いたしました。万一、不審なメール、電話等がございましたら、大変お手数ですが末尾のお問い合わせ先までご一報いただけますようお願い申し上げます。

 今後の調査等によって、お客様等の情報の漏洩が確認された場合は、改めてご報告させていただきます。

 なお、多数の方からのお問い合わせが集中することが予想されます。多く寄せられるご質問やお問い合わせの内容によりましては、書面(電子メールを含みます。)または弊社のホームページへの掲載により回答させていただく場合がございます。何卒ご理解を賜りますよう、お願い申し上げます

 本件に関し、これまでに判明している事実と弊社の対応につきまして、下記のとおりご報告いたします。


 

1.不正アクセスの概要について

 本件サーバーに対し、ファイヤーウォールを設定していましたが、2021年4月2日、唯一外部とのアクセスのために設けていた暗号化されたキー(鍵)を、何らかの手口によって第三者に特定され、不正なアクセスにより、本件サーバーがランサムウェアに感染しました。

 この結果、本件サーバーに保管していたデータがすべて暗号化され、弊社の一部の店舗(計9店舗)で運用しておりました本件システムが使用不能となりました。

 また、本件発生後、事態の把握と並行して、システム関連の取引先会社の助言を受ける等し、本件システムの復旧を目指しましたが、極めて困難な状況であることが判明いたしました。

 なお、本件システムを運用していた店舗の詳細は以下のとおりです。該当店舗において本件システムの運用期間中にご入会・ご利用をいただいたお客様等につきましては、以下記載のとおり、本件システムに個人情報が登録されていました。


【本件システムの運用期間等について】

〈店舗名・運用期間・個人情報の内容〉
スポーツクラブNASリバーシティ21
(運用期間:2001年9月~2014年2月)
スポーツクラブNAS新川崎
(運用期間:2011年4月~2013年9月)
スポーツクラブNAS姪浜
(運用期間:2011年6月~2014年2月)
スポーツクラブNAS中山
(運用期間:2012年3月~2013年9月)
スポーツクラブNAS西日暮里
(運用期間:2012年5月~2013年11月)
スポーツクラブNAS戸塚
(運用期間:2013年3月~2013年5月)
スポーツクラブNAS稲沢
(運用期間:2013年4月~2013年7月)
・氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち一つ以上

スポーツクラブNAS博多
(2010年9月~2014年2月)
・氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち一つ以上
(2014年3月~2021年4月)
・氏名、生年月日、性別、会員番号

スポーツクラブNAS大阪ドームシティ
(2011年4月~2014年2月)
・氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち一つ以上
(2014年3月~2021年4月)
・氏名、生年月日、性別、会員番号

※本件システムには上記のとおりクレジットカード情報が登録されていました。しかし、新会員管理システムへの移行に伴い、2014年2月11日以降は、本件システムへのクレジットカード情報の新規および更新情報の登録を停止していました。
 このため、本件システムに登録されていたクレジットカード情報の中で、最も新しい有効期限のものでも2019年12月で有効期限切れとなっていることが確認できております。
 また、本件システムにクレジットカードのセキュリティコードに関する情報は登録されておりませんでした。


2. 本件サーバーが感染したランサムウェアについて

 ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称で、コンピューターウィルスの一種です。

 このウィルスは、感染したパソコン等の端末をロックしたり、ファイルを暗号化したりすることによって使用不能にし、元に戻すことと引き換えに「身代金」を要求する不正なプログラムです。

 また、ランサムウェアには、大別すると①無差別にパソコン等の端末を狙って感染先でデータを暗号化し、被害者から暗号化の解除と引き換えに身代金を要求するもの(無差別型ランサムウェア)と②特定の業種や企業を狙い撃ちしにしてパソコン等の端末を感染させ、感染先のデータを暗号化するとともにデータを窃取し、窃取した情報の一部を公開して身代金を要求するもの(標的型ランサムウェア)の2種類があるとされています。

 今回、不正アクセスを行った第三者からは、暗号化された本件サーバー内のデータを復旧するためには復号ツールの購入が必要であるとのメッセージを受領しているものの、お客様等の情報を窃取したとの記載はなく、現在まで、当該第三者から身代金の要求等の脅迫行為も受けておりません。また、調査専門会社が行った調査によれば、2021年5月18日時点において、お客様等の情報が、いわゆるダークウェブ(※)上の情報公開サイトには存在しないとの報告を受けています。このため、調査専門会社によれば、今回本件サーバーが感染したランサムウェアは上記①の「無差別型ランサムウェア」である可能性が高いという見解を得ています。

 したがいまして、今回、本件サーバーが感染したランサムウェアは、上記①の情報を窃取しないタイプの「無差別型ランサムウェア」であるものと考えられます。


(※)ダークウェブとは、匿名性の保持や追跡回避の技術が使用されている通常の方法ではアクセスすることができないウェブサイトのことをいいます。


3. 本件サーバーに保管されていた個人情報

〈会員情報〉
150,084
(内クレジットカード情報を含む34,920人)
・氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち一つ以上

〈従業員情報〉
460
・氏名、生年月日


4. 経緯および対応

4/2
・午前8時55分頃、弊社の店舗からシステム保守会社に対し、本件システムが使用できない旨連絡。
・午前9時30分頃、システム保守会社が遠隔操作によりデータセンターに置いている本件サーバーの状態を確認したところ、ファイルが文字化けし、ランサムウェアに感染した疑いがあることを確認。
・午前10時10分頃、システム保守会社から弊社情報部門に連絡。弊社情報部門よりシステム保守会社に対し、データセンターに行って直接サーバーの状態を確認して欲しい旨依頼。弊社情報部門からデータセンターに対し本件サーバーのLANケーブルの引き抜きを依頼し、ネットワークとの接続を遮断。
・午後1時頃、システム保守会社がデータセンターに到着。本件サーバーの状態を確認したところ、4月2日午前2時頃(推定)、ランサムウェアによって本件サーバー内のデータが暗号化されたことが判明。

4/2~
・システム関連の取引先会社の助言を受け、本件システムの復旧に向けての検討と被害状況の調査を開始。

4/13
・2019年5月に本件サーバーへのサーバーの入れ替えを行っていたため、旧サーバーにバックアップとして残されていたデータ等から被害状況の把握に努めた結果、本件サーバーには少なくとも約8万9千人分の個人情報が含まれていたことが判明。

4/14
・より正確に個人情報が含まれるデータを抽出し精査するため、システム保守会社、本件システムのベンダー企業に支援を要請。併せて、原因究明、情報の流出可能性等を調査する専門会社の選定を開始。
・個人情報保護委員会に報告。

5/11~
・調査専門会社に調査を依頼。調査開始。

5/18
・調査専門会社より、現時点で、ダークウェブ上の情報公開サイトに弊社の情報はない旨の報告。

5/25~
・調査専門会社に本件サーバーへの侵入経路の特定等の調査を依頼。

5/28
・本件サーバーに保管されていたと考えられる個人情報の抽出・精査完了。

6/4
・警察署に本件を相談。

6/15
・個人情報保護委員会に追加の報告。


5. 今後の対応について

(1) 本件システムに個人情報が登録されていた会員様等につきましては、まずは弊社が把握している会員様等の住所に対し、2021年6月21日を目途に別途書面を発送してご連絡いたします。宛先不明で戻ってきたものに関しましては、他の方法を検討し、可能な限りご本人様への連絡に努めます。

(2) 「スポーツクラブNAS大阪ドームシティ」、「スポーツクラブNAS博多」に2021年4月時点で在籍されていた会員様につきましては、本件システムに記録されている2021年3月1日から2021年3月31日までの間にチャージいただいた金額を確認できない状況です。このため、同期間におけるチャージ金額のお取り扱いにつきましては、該当する会員様に2021年6月21日を目途に別途書面を発送し、ご連絡いたします。

(3) その他本件に関し、ご不明な点やご質問がございましたら、大変お手数ですが、末尾記載のお問い合わせ先までご連絡いただけますよう、お願いいたします。


6. 再発防止策について

 本件サーバーに対しましては、これまで一般的に有効とされるファイヤーウォール等によるセキュリティ対策を行ってまいりました。今後は、これに加えて、各端末の状況をリアルタイムで監視し、異常を検知した時は、直後にネットワーク通信を遮断し被害を最小限に抑える防御ソフトを導入しました。また、調査専門会社による調査結果を踏まえて、必要なセキュリティ対策等の強化を図ってまいります。

以上



[お問い合わせ先]
不正アクセスに関するお問い合わせ専用窓口(コールセンター)
TEL:0120-215-428
コールセンター受付時間:全日9:00-18:00



スポーツクラブNAS 店舗一覧
北海道エリア
北信越エリア
関東エリア
東海エリア
関西エリア
九州エリア