当社サーバへの不正アクセスによる
一部データ流出の可能性に関する
詳細調査のご報告（最終報）

2018年12月20日発表の「不正アクセスによる一部データ流出の可能性に関するお詫びとお知らせ（第一報）」について、お客さまおよび提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。

2018年9月17日から12月6日にかけて当社の保有するサーバへの不正アクセスおよびお客様情報流出の可能性があることが判明したため、本件を公表し、発生の原因について、詳細な調査を進めてまいりました。
第三者機関によるフォレンジック調査^*1および社内調査の結果、当社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。このたびの経緯ならびに第三者機関による調査の結果、再発防止策等について下記の通りご報告いたします。

記

1. 本件の概要ならびに調査概要、経緯

2018年12月6日、当社で利用しているクラウドサービス（AWS^*2）において、不正アクセスの形跡を確認し調査した結果、不正アクセスを受けていたことが判明しました。その後、社内にて調査を進めた結果、2018年9月26日午前1時26分に同クラウドサービスへの不正アクセスがあり、同サーバには「ferret One」「マケスト」「ferret」のお客様情報のバックアップデータ等が格納されたファイルが存在し、攻撃者がアクセス可能な状態にありました。そのため、不正アクセスの経路を遮断するとともに、セキュリティ強化などの緊急対策を講じ、原因究明のため2018年12月12日より第三者機関によるフォレンジック調査および社内調査を進めてきました。

2. 不正アクセスにおける対応経緯

3. 調査結果
 第三者機関によるフォレンジック調査ならびに社内調査の結果、AWSアクセスキーの流出原因については特定されませんでした。尚、当社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。お客様より、不正アクセスによるお客様情報を利用された可能性や被害報告なども現在まで頂いておりません。

4. 再発防止策

第一報のお知らせ後、以下の対策を実施いたしました。

このような事態を招いたことを重く受け止め、今後、このような事態が発生しないよう厳格なサービス運用ならびにセキュリティ強化、従業員教育の徹底を図り、再発防止に努めてまいります。

*1 フォレンジック調査：サーバのログファイルから不正アクセスの記録を見つけ出すことで、情報流出の有無や範囲を判断する調査
*2 AWS：Amazon Web Serviceの略。Amazonが提供するクラウドサービスの総称
 クラウドコンピューティングを利用したデータベース・サーバやストレージなどのサービスを提供
*3 EC2：EC2は「Elastic Compute Cloud」の略。AWS上に仮想サーバを作るサービス。
*4 Slack：Slack社が提供するビジネスチャットアプリ
*5 S3：「Simple Storage Service」の略。AWSにおけるオンラインで使えるストレージのこと
*6 KMS：Key Management Serviceの略。
 AWSが提供するデータの暗号化に必要な暗号化キーの作成と管理を容易にするマネージド型サービス。

 【備考】
「不正アクセスによるお客様情報の流出の可能性に関するお知らせとお詫び（第一報）」
https://basicinc.jp/pr/20181220