弊社ホームページおよび関連ウェブサイトへの
不正アクセス発生についてのご報告とお詫び

弊社が運営する一部のウェブサイト(※)が稼動するサーバーに外部より不正プログラムが侵入していたことを平成21年9月7日に発見しました。同日よりウェブサイトを閉鎖し、内容を調査いたしましたところ、不正アクセスの形跡は認められましたものの、保有しておりましたお客様の情報へのアクセスや流出などの形跡は認められませんでした。しかしながら、ウェブサイトにてお客様の情報をお預かりしております責任において、以下に事実関係をご説明させていただきます。

※弊社が運営する一部のウェブサイト(以下「弊社サイト」と申します。)

お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。 弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に社員一同、全力で取り組む所存でございます。

現在、弊社サイトは脆弱性の全面チェック及び不正アクセス対策の強化を既に完了しており、安心してご利用いただける環境にあります。今後とも弊社サイトをよろしくお願い申し上げます。

本件に関する経緯、不正アクセスの内容等につきまして下記の通りご説明させていただきます。

1.経緯

○2009年9月7日

サーバー管理委託先より、弊社サーバーにて不正プログラムの動作の可能性ありとの連絡を受けた。

○同日

弊社サイトを閉鎖し、サーバー管理委託先の解析専門部署にてサーバー解析作業を開始。

○2009年9月10日

弊社サイトコンテンツ製作業務委託先にて、全コンテンツに対する影響調査を開始。

○2009年9月15日

サーバー管理委託先によるサーバー解析作業が完了。不正プログラムの侵入と動作の痕跡を認めたが、情報流出の有無は不明との結果報告を受ける。

上記報告を受け、弊社サイトにて保有するお客様に関する情報の特定作業を開始。

○2009年9月24日

弊社サイトコンテンツ製作業務委託先による、全コンテンツに対する影響調査と問題部分の修正が完了し、安全な状態に復旧可能であることを確認した。

上記を受け、閉鎖中の弊社サイトの再構築を開始。

○2009年9月30日

弊社サイトにて保有するお客様に関する情報の特定作業の完了。

○2009年10月6日

弊社サイトを再開し、株式会社メディコンのホームページおよび関連サイト上で事故内容を発表。

弊社サイトにてアドレスを保有していたお客様にEメールにてお知らせを開始。

2.不正アクセスの内容と原因及び今後のご対応につきまして

(1)不正アクセスの原因となった不正プログラムの侵入経路

サーバー解析調査の結果、不正プログラムは弊社サイト上に設置されていたソフトウェア「phpMyAdmin」の脆弱性(PMASA-2009-3, CVE-2009-1151)を利用したアタックにより弊社サイトが稼動するサーバーに侵入したものと判明しました。

現在は、不正プログラムは全て排除され、侵入経路となりうる部分はすべて外部から遮断されております。

(2)このような事態をまねくことになった原因について

弊社サイト管理体制に不備があり、不正プログラムの侵入経路として利用されたソフトウェアが、弊社サイトの公開部分に配置されていたことが判明しております。

(3)弊社サイトにて保有していたお客様の情報について

全対象データ件数 9,357件

株式会社メディコンホームページ
○会員登録を下記期間に会員登録フォームよりご依頼いただいたお客様

対象期間:2004年2月5日〜2006年9月19日

該当数 : 3,061人

保有項目:氏名、所属施設名、所属、電話番号、Eメールアドレス、パスワード

○お問合せを下記期間にお問合せフォームよりいただいたお客様

対象期間:2009年1月1日〜2009年9月7日

該当数 : 174人

保有項目:氏名、件名、職種、勤務先、郵便番号、住所、電話番号、Eメールアドレス、お問い合わせ内容

○資料請求などを下記期間に資料請求フォームよりいただいたお客様

対象期間 :2007年3月9日〜2009年4月17日

該当数 : 91人

保有項目:氏名、職種、所属施設名、担当科名、郵便番号、住所、電話番号、Eメールアドレス

PEG情報サイト(PEG-胃瘻による栄養療法)
○会員登録を下記期間に会員登録フォームよりご依頼いただいたお客様

対象期間:2004年2月6日〜2006年9月19日

該当数 : 1,761人

保有項目:氏名、所属施設名、所属、電話番号、Eメールアドレス、パスワード

○お問合せを下記期間にお問合せフォームよりいただいたお客様

対象期間:2008年12月26日〜2009年7月2日

該当数 : 24人

保有項目:氏名、件名、職種、勤務先、郵便番号、住所、電話番号、Eメールアドレス、お問い合わせ内容

○資料請求を下記期間に資料請求フォームよりご依頼いただいたお客様

対象期間:2007年3月2日〜2009年9月6日

該当数 : 3,175人

保有項目:氏名、職種、所属施設名、担当科名、郵便番号、住所、電話番号、Eメールアドレス

ヘルニア情報サイト(ヘルニア倶楽部)
○会員登録を下記期間に会員登録フォームよりご依頼いただいたお客様

対象期間 :2004年1月1日〜2006年9月15日

該当数 : 913人

保有項目:氏名、所属施設、所属、電話番号、Eメールアドレス、パスワード

○お問合せを下記期間にお問合せフォームよりいただいたお客様

対象期間 :2008年3月27日〜2009年1月22日

該当数 : 30人

保有項目:氏名、件名、職種、勤務先、郵便番号、住所、電話番号、Eメールアドレス、お問い合わせ内容

○会員サイト「メディ助」への会員登録を下記期間に会員登録フォームよりご依頼いただいたお客様

対象期間 :2008年9月4日〜2009年9月7日

該当数 : 125人

保有項目:ユーザーID、氏名、病院名、所属科名、Eメールアドレス

○会員サイト「メディ助」へのお問合せを下記期間にお問合せフォームよりいただいたお客様

対象期間 :2008年9月4日〜2009年9月7日

該当数 : 3人

保有項目:氏名、件名、職種、勤務先、郵便番号、住所、電話番号、Eメールアドレス、お問い合わせ内容

(4)今後の対策について

弊社ではこのようなセキュリティ事故を発生させ、関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたことを深く反省しております。

弊社におきましては、一般的な技術による侵入が不可能であるよう標準レベルでのウェブサイトに対する物理的セキュリティ対策を実施しておりました。体制面においても弊社コンプライアンス委員会に専門の分科会を設置し、情報セキュリティに対する取組みを行ってまいりました。しかしながら、今回のセキュリティ事故発生を踏まえ、弊社サイトの管理体制の見直しを行うと同時に継続的なセキュリティの強化と改善を行い、お客様に安心してご利用いただけるよう信頼の回復に努めてまいる所存でございます。

(5)本件に関する専用お問い合わせ窓口
本件に関するFAQ

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

(フリーダイヤル) 0120−60−7515
 ※ 専用お問い合わせ窓口の電話番号を変更いたしました。(2010年1月4日)

誠に申し訳ございませんが、受付時間は、平日9:00 より17:00とさせていただきます。