【重要なお知らせ】不正アクセスと情報流出の可能性についてのご報告

【重要なお知らせ】
平成29年9月15日より弊社サイトへの不正アクセスによる大量の迷惑メール送信が発覚いたしました。
 
弊社カートシステムの脆弱性をついて弊社サーバーに不正にアクセスを行い、不正プログラムを設置、そのプログラムにアクセスを行い、サーバーから直接1日15000通にも及ぶ迷惑メールを送信されていました。
現在対策を行い、迷惑メール送信は止まっております。
ただ、弊社のメールアドレスが迷惑メールの送信元となっていたため、迷惑メール判定をされお客様へメールが届かないという事象が現在もなお発生しております。
 
弊社がその事実を認識したのが平成29年9月25日です。
被害の拡大を防ぐため、翌日、弊社ホームページのデータをすべて削除いたしました。
現在ホームページのすべてを新しいものに差し替え、不正なファイルは排除いたしました。
 
サーバー会社に問い合わせたところ弊社ホームページで使用しているショッピングカートプラグイン『Welcart』の脆弱性をついた攻撃の可能性が濃厚とのことです。
弊社ではこの修正プログラムを出た直後に適用したのですが、サーバー会社によると修正プログラムの配布が遅かったそうでその時にはすでにアクセスされていた可能性が濃厚とのことです。ほかのサイトでも被害が多数報告されているとのことです。
 
お客様の会員データについてですが、会員データはデータベースに格納されております。サーバー会社によるとデータベースへの外部からの侵入はできないため、サーバー内にそれができるようなスクリプトを設置しなければならないとのこと。その設置が可能になっていたとのことで、データベースの情報が外部に送信された可能性はゼロではないとのことです。ただ、この攻撃でデータベースを改竄するというメリットはなく、他の被害にあった方のデータベースの改竄等はサーバー会社には報告されていないとのことです。
会員の皆様、大変申し訳ございません。
会員情報はまだデータベースにございます。今は不正アクセスがございませんが、会員情報の削除を希望の方は会員ページから削除をお願いいたします。
 
皆様には大変ご迷惑をおかけし、誠に申し訳ございません。
セキュリティ強化として、パスワードの変更、セキュリティソフトの追加等を行いました。
しかし、今回修正プログラム発表直後にたまたま気付いたため、すぐに更新したにもかかわらず、
このような攻撃に遭い、どう防げばいいのかネットのセキュリティについての難しさを痛感しております。
攻撃されてもすぐに分かるよう、定期的なアクセスログの確認、メール送信の監視を今後行ってまいります。
また、ホームページデータをすべて新しいものに変えたため、カスタマイズなどがリセットされ
レイアウトの崩れやページがないということが発生しております。今後、修正してまいります。
現在もサーバー会社に情報流出がなかったか問い合わせを行っております。返信がありましたら追記いたします。
 
ご迷惑をおかけいたします。
よろしくお願いいたします。
 
 
 
平成29年10月4日　追記
データベースには改ざん等確認されませんでした。
ご迷惑をおかけいたしました。