株式会社札幌丸井三越より、公開質問状に対する回答が届いたのでアップします。 なお、テキスト化は質問についての回答部分のみ行っております。 全文は、画像の方を御覧下さい。
Q1:検索サイト経由で第三者によるセッションハイジャックされたように受け取れるが、そんなことが現実問題として発生するのか? 同一のPCから確認したのではないか? 詳細に説明を頂ければと思います。
A1:今回の事象は、セッションIDを含む1会員様のログインユーザー画面が、検索サイトの検索エンジンの検索結果からアクセスした他のお客さまに表示されたものであり、悪意の第三者がセッションIDの推測や盗聴により、他人のセッションを詐称した行為ではないと判断しております。 弊店は、このお客さまからのご連絡により、ネット上で1会員様のログインユーザー画面が検索サイトを経由してアクセスされた事実を確認いたしました。 またご連絡直後に、弊店でも社内パソコンにおいて今回の事象を確認する為に、このお客さまがアクセスされた通り、検索サイト経由でのアクセスを試みましたが、Web会員様のログインユーザー画面にアクセスすることはできませんでした。
Q2:何故、指摘された1件しか確認できないのか? 詳細なログが取得されていれば、少なくともログ保存期間内に発生したのかどうかについて確認できると思われるが、何故できないのか、詳細に説明を頂ければと思います。
A2:誠に申し訳ありませんが、確認に必要な詳細なログを取得できておりませんでした。 具体的には、弊店の正規Web会員様がログインする際の通常のアクセスと、今回の事象のように、非正規会員である第三者のユーザーによるログイン画面へのアクセスとを記録上、区別することが困難であり、漏洩の可能性を完全に払拭することはできませんでした。 そのために今回、Web登録会員の皆様全員にお詫びとお知らせをさせていただくことといたしました。
Q3:クレジットカード情報は含まれていないとされているが本当なのか? 2009年弊社代表の熊谷が確認した際にはクレジットカード情報も閲覧可能な状態にありましたが、サイトの再構築をしたのか? 何を根拠にクレジットカード情報の漏洩が無いとしているのか、詳細に説明を頂ければと思います。
A3:ご指摘された2009年のクレジット番号はマスキング処理をしており、表示はされない状態でした。 クレジット情報はWebシステムとは別のシステムで管理しているため、今回の事象により漏洩されうる情報には含まれません。
Q4:なぜ、2009年に弊社代表の熊谷が指摘した際には、利用者への告知を怠ったのに、何故、今回は利用者への告知を行なったのか? 詳細に説明を頂ければと思います。
A4:2011年4月1日付で新会社として発足した株式会社札幌丸井三越として、Web会員の皆様に対するこのたびのご迷惑、ご心配につきまして、誠意をもって対応させていただくこととしました。
Q5:12月13日に発覚しているのに、連絡が年を明けたのは何故か? 対応があまりにも遅いと思いますので、これについても詳細に説明を頂ければと患います。
A5:システムの不具合の原因や閲覧された可能性のある会員数の調査に、時間を要しました。 事態の判明後、速やかに主務官庁である北海道経済産業局への報告を行うと共に、直ちに会員の皆様にご連絡させていただくための書面の印刷、郵送作業等に取りかかりましたが、年末年始という時期も重なり、こちらも時間を要す結果となりました。 お詫びとお知らせが遅くなりましたことをお詫び申し上げます。
Q6:2009年に弊社代表の熊谷が指摘した問題点は、完全に対応されたのか? 詳細に説明を頂ければと思います。 ちなみに、御社から「対応済み」の連絡をいただいた後も、他者の情報が閲覧可能な状態に置かれていたのは確認済です。
A6:Webシステム上、ログインIDと同じパスワードでログインできる状態に対しては、ご指摘いただいた後、弊店においてシステムの改修を行い、2009年11月以降の新規会員登録分より、パスワードとログインIDが同一の場合にはエラーとなる仕組みに変更させていただきました。 尚、Web Shop再開に当たりましては、弊店として今後、システムの変更を行いセキュリティの安全性を高めて行きます。 過去、ログインIDとパスワードが同じ方には、その方ヘリスクが生じないようシステム変更を行うことで対応いたします。
Q7:12月下旬に株式会社三越伊勢丹ホールディングスの社内システムから、弊社代表の個人プログにアクセスが多数ありました。 何故、社内システムに個人のプログヘのリンクを掲載したのでしょうか?
A7:ご指摘のような「社内システムに個人のプログヘのリンクを掲載した」という事実はございません。 今回の事象における、情報漏洩の範囲、影響を社内で調査する過程におきまして、熊谷様の個人ブログの中で㈱札幌丸井今井の件について掲載されていることを検索サイト等で表示されることを発見し、一部の社員がアクセスしていたことは確認しております。