弊社が運営する一部のウェブサイト（※）が稼動するサーバーに外部より不正プログラムが侵入していたことを平成２１年９月７日に発見しました。同日よりウェブサイトを閉鎖し、内容を調査いたしましたところ、不正アクセスの形跡は認められましたものの、保有しておりましたお客様の情報へのアクセスや流出などの形跡は認められませんでした。また、現在のところ流出の事実や不正利用などの申告はいただいておりません。

• メディコンホームページ（http://www.medicon.co.jp/）
• ＰＥＧ−胃瘻による栄養療法（http://www.peg.gr.jp/）
• ヘルニア倶楽部（http://www.hernia.jp/）
• クリティカルケア（http://criticalcare.jp/）

本件に関する経緯等はこちらをご確認下さい。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

サーバー解析調査の結果、不正プログラムは弊社サイト上に設置されていたソフトウェア「phpMyAdmin」の脆弱性(PMASA-2009-3, CVE-2009-1151)を利用したアタックにより弊社サイトが稼動するサーバーに侵入したものと判明しました。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

“ボット”と称される悪質なプログラムです。コンピュータを悪用することを目的に作られた悪性プログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った攻撃者（以下「攻撃者」という）が、コンピュータを外部から遠隔操作します。

ボットとは → https://www.ccc.go.jp/bot/（サイバークリーンセンター）

侵入を許した不正プログラムは下記弊社運営サイトにおいて、特定の期間に会員登録、資料のご請求、お問合せをいただいたお客様の情報に影響を及ぼす可能性を有しておりました。

• メディコンホームページ（http://www.medicon.co.jp/）
• ＰＥＧ−胃瘻による栄養療法（http://www.peg.gr.jp/）
• ヘルニア倶楽部（http://www.hernia.jp/）
• クリティカルケア（http://criticalcare.jp/）

調査の結果、お客様の情報にアクセスした証跡や流出した証跡は存在しませんでしたが、流出の可能性自体を否定できるものではありません。

なお、現時点においては、情報流出の事実や流出した情報の不正使用等についての申告はございません。

全対象データ件数　9,357件

対象データ件数は下記の通りとなっております。

全対象データ 9,357件

詳細な内訳についてはこちらをご覧下さい。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

弊社においても、Ｆ／Ｗ（ファイアーウォール）による不正アクセス防止対策やメンテナンス時のアクセス元の制限など、標準レベルの物理的対策を実施しておりましたので、一般的な技術による侵入は困難な状態であったと考えております。

また、体制面においても弊社コンプライアンス委員会に専門の分科会を設置し、社として情報セキュリティに対する取組みを行ってまいりました。

しかしながら今回の不正アクセスは、弊社における弊社サイト管理に問題があったことにより発生させてしまいました。

具体的には、脆弱性が指摘されていたソフトウェアツールを弊社サイトの公開部分に配置し、その脆弱性をターゲットとした不正アクセスにより侵入を許すという事態をまねいてしまいました。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

現在は、不正アクセス用プログラムはすべて排除され、侵入経路となりうる部分はすべて外部から遮断されております。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

弊社ではこのようなセキュリティ事故を発生させ、関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたことを深く反省し、再発防止に真摯に取り組む所存でございます。

各種セキュリティ対策を施しながら、弊社による弊社サイトの管理の不手際による初歩的なミスがこのような重大な事故を引き起こす原因となったことを重視し、今後、お客様に安心してご利用いただけるよう、弊社サイトの管理体制の見直しを行うと同時に継続的なセキュリティの強化と改善を行い、信頼の回復に努めてまいる所存でございます。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

個人情報流出後に想定されます一般的な被害に、お客様側に身に覚えの無いメールが届いたり、ダイレクトメールが届いたりする可能性がございます。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

この度は、大変ご迷惑とご心配をお掛けし、誠に申し訳ございません。

お客様のクレジットカード情報や口座番号など、直接的に金銭被害をお客様に及ぼすと想定される内容の情報を弊社ではお預かりしておりません。考えられる一般的な被害としまして、スパムメール（迷惑メール）の増加などが考えられます。

事件性のあるものにつきましては警察等、関係官公署と連携して対応させていただきます。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

現在においても、問題のあった当時においてもその危険性はございません。

ページの改ざんなどは行われておりませんでしたので、お客様の参照される部分に おいてコンピュータウィルス等の配置は無く、ページを参照するという行為にてコン ピュータウィルスに感染するということはございません。

弊社においてＥメールアドレスを保有しておりましたお客様には１０月６日にご連絡をＥメールにて差し上げております。

※下記の理由により、ご連絡のＥメールを受信されていない場合がございます

• １）ご登録されていたＥメールアドレスを現在ご利用されていない場合
• ２）Yahoo!メールやHotmailなどのフリーメールをご登録されていた場合
• ３）その他の場合
  メールサービス提供元のトラブルやご使用されているメールソフト、セキュリティソフトなどが原因で正常にメールを受信できない場合がございます。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

このたびは皆様に多大なご心配とご迷惑をおかけいたしまして誠に申し訳ございません。9月7日に事態が発覚しましてから10月6日の公表まで長いお時間を要しましたことにつきまして、以下ご説明させていただきたく存じます。

■事実確認につきまして

9月7日時点で外部からの不正アクセスの痕跡を発見した際、すぐさまお客様にお知らせする必要性を弊社としましても強く感じておりました。

ただ、公開するだけではお客様に対して混乱を与え、お問い合わせに対しても全てにお答えすることができず、説明責任を果たし得ないと考えました。

まずは被害拡大の防止のため、弊社ウェブサイトの外部からの遮断と不正プログラムおよび不正アクセスの事実調査を行いました。
こちらがおおむね判明に至ったのが9月15日でした。

■お客様情報の範囲特定作業

調査の結果、不正プログラムの侵入を許しているものの、お客様の情報へのアクセスや流出したと確認できるような証跡は見あたりませんでした。ですが、やはり流出の可能性自体は否定できなかったため、不正アクセスによる被害としまして、9月15日よりその影響範囲の特定作業に入りました。

これは、関係するお客様全員にご連絡をさせていただくために必要な作業でした。

影響が弊社運営の複数のサイトであることと、範囲特定されたデータの件数が約1万件と当初想定よりも膨大であったため、名寄せ作業等時間がかかり、最終的には9月30日、流出の可能性のある最大値として数字を確定させました。

■お客様対応窓口の準備

お客様への窓口の準備は9月15日から準備を開始、公開に向けて進めておりましたが、1万件という当初想定よりも大きな数字となったため、窓口を担当するスタッフへ対応方法のレクチャーなど、お客様に正確な情報をお伝えし、混乱を最小限にするための準備に時間を要し、最速で準備を進めましたが10月6日に公開となりました。

10月6日に公開させていただきましたが、準備に至らぬ点がありお客様には大変なご心配とご迷惑をおかけいたしましたこと、謹んでお詫び申し上げます。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

■弊社サイト会員のお客様情報

2009年1月以前に下記弊社サイトより会員登録いただいたお客様の情報は、現在会員サービスそのものがございませんので、弊社サイトよりすべて削除させていただきました。

• メディコンホームページ（http://www.medicon.co.jp/）
• ＰＥＧ−胃瘻による栄養療法（http://www.peg.gr.jp/）
• ヘルニア倶楽部（http://www.hernia.jp/）
• クリティカルケア（http://criticalcare.jp/）

※新たな会員サービスをご提供させていただく場合は、弊社サイトにてご連絡差し上げます。

■お問合せ、資料請求いただいたお客様の情報

弊社サイトより、お問合せ、資料請求いただいたお客様の情報については、外部から完全に遮断され、外部から閲覧できない場所に保管場所を変更し、弊社サイトからは全て削除させていただきます。

そして、お問合せや資料請求には、随時、対応させていただきます。

■会員サイト「メディ助」会員のお客様情報

ヘルニア情報サイト「ヘルニア倶楽部」より、会員サイト「メディ助」の会員登録をいただいているお客様の情報について、情報の削除をご希望の場合は下記よりご連絡いただきますようお願い申し上げます。

株式会社メディコン「メディ助」事務局
E-mail medisuke@medicon.co.jp

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。

この度は、皆様に多大なご心配とご迷惑をお掛け致しまして誠に申し訳ございません。

現時点においては、情報流出の事実や流出した情報の不正使用等についての申告はございません。しかしながら弊社といたしましては、流出の可能性自体を否定することができないとの見解でございます。

本件に関するお問い合わせについては、専用お問い合わせ窓口にて承っております。大変お手数をお掛け致しますが、ご不明な点がございましたら、窓口よりご連絡賜りますようお願い申し上げます。

※お客様のご登録情報をお調べする際、「お名前」「会員様の場合はログインID」「電話番号」「Eメールアドレス」等必要事項をお伺い致します。何卒ご容赦下さいませ。

上記以外のご質問につきましては専用お問い合わせ窓口より承っております。