ニュース

「旅くら」における法人業務連絡用メールアカウントへの
不正アクセスによるメールアドレス等流出のお詫びとお知らせ

  • お知らせ
  • ビジネス
2019-09-25

ビッグローブ株式会社

このたび、弊社が運営する法人向けSaaS型宿泊プラン比較サービス「旅くら」(以下「旅くら」)におきまして、同サービスの法人業務連絡用メールアカウント「info@tabi-kura.com」(以下「連絡用メールアカウント」)に対して外部からの不正アクセスが発生しました。

これに起因して、連絡用メールアカウントを用いたスパムメールの送信が確認されるとともに、連絡用メールアカウントのメールボックス上に保存されていたメールのヘッダ情報が参照され、過去にやり取りをした法人のお客さまのメールアドレス等の情報が流出したことが判明しました。

メールアドレス等が流出した法人のお客さまには多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

メールアドレス等が流出した法人のお客さまには、既に9月19日から、個別にお詫びとお知らせのご連絡をしております。

現時点では被害のご申告はいただいておりませんが、弊社では、このたびの事態を厳粛に受け止め、今後二度と同様の事態を発生させることがないよう、セキュリティ対策の強化を行い、再発防止策の実施及びお客さま情報保護体制の一層の強化に取り組んでまいります。

本件の概要と弊社の対応状況等は、下記のとおりです。

1.法人のお客さまの流出したメールアドレス数:1,895

参照されたヘッダ情報には以下の情報が含まれます。

  • メール件名(subject)
  • 送信日時
  • 送信元メールアドレス(from)とメールアドレスの表示名
  • 宛先メールアドレス(to、cc)とメールアドレスの表示名
    ※メール本文の参照は確認されていません。

2.経緯

  1. 2019年9月17日(火)
    連絡用メールアカウント「info@tabi-kura.com」を送信元とするスパムメールが送信されていたことを、弊社にて検知しました。その後、速やかに連絡用メールアカウントを利用停止することにより、新たなスパムメールの送信を防止しました。あわせて、弊社「旅くら」サイト( http://www.tabi-kura.com/ )上にてスパムメールに関する注意喚起を実施いたしました。
  2. 2019年9月18日(水)
    ログ調査の結果、不正アクセスにより、連絡用メールアカウントの受信用メールボックスに保存していたメールのヘッダ情報が第三者に参照されたことが判明しました。その後、速やかにメールアドレス等が流出した法人のお客さまの特定作業を開始しました。
  3. 2019年9月19日(木)
    特定できたメールアドレス等が流出した法人のお客さまに対し、個別にお詫びとお知らせを開始しました。
  4. 2019年9月20日(金)
    連絡用メールアカウントに代わり、本件に関するお問い合わせ窓口として新たに立ち上げた「旅くら」事務局メールアカウント「contact@tabi-kura.com」(7項参照)および既存の連絡用メールアカウントへのアクセス制限を実施しました。

3.原因

外部の第三者により連絡用メールアカウントのパスワードが類推され、不正なアクセスを受けて、IMAPのコマンドを用いて連絡用メールアカウントのメールボックス上のヘッダ情報が参照されたものです。

4.対応

2019年9月17日に、不正アクセスされた連絡用メールアカウントの利用を停止するとともに、2019年9月19日から、メールアドレス等が流出した法人のお客さまには個別にお詫びとお知らせのご連絡をしております。

5. メールアドレス等が流出した法人のお客さまへのお願い

  1. 流出したメールアドレスに対し、いわゆるスパムメールやフィッシング等の詐欺メールが送信される可能性がございます。万一、不審なメールを受信した場合は、本文中のURLや添付ファイルをクリックせずに、速やかに削除(ゴミ箱からも完全に削除)するよう、また、身に覚えのない金銭の支払いに応じないようお願いいたします。
  2. 流出したメールアドレスを、他のサービス(外部クラウドサービス等)あるいはシステムのIDとしてログインしている場合、当該メールアドレスを用いて不正アクセスを試行される可能性がございます。万一、ログイン用パスワードが第三者に推測されやすいようなものになっていると思われる場合は、お手数ではございますが、下記ページを参考にするなどして、安全なパスワードに変更いただきますようお願いいたします。

【ご参考】
安全なパスワード管理(総務省) http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

6.今後の対策

弊社では、このたびの事態を厳粛に受け止め、セキュリティの強化を行うべく、弊社のすべての法人業務連絡用メールアドレスについて、パスワードの再確認と、利用時のIPアドレスによるアクセス制限を実施いたします。

7.本件に関するお問い合わせ窓口

本件に関する法人のお客さまからのお問い合わせは以下の窓口にて対応いたします。

「旅くら」事務局メールアドレス: contact@tabi-kura.com

※今後、「旅くら」に関するお問い合わせにつきましては、上記メールアドレスで承ります。なお、本件に関してお問い合わせをいただいた場合は事務局が順次、個別対応をさせていただきます。

以上