Coubicご予約サイト不正アクセスについて

Warisでは、「キャリアセッション」のご予約に関して、外部の予約システム『Coubic』を使用しております。
この度、『Coubic』を運営するクービック株式会社より、不正アクセスによる一部情報漏洩があったという報告を受けました。

『Coubic』をご使用いただいたことのある方には、クービック株式会社そしてWarisより個別にご連絡も差し上げておりますが、ホームページでもご報告させていただきます。

クービック株式会社からの報告によりますと、今回流出した可能性のある情報は以下になります。
・氏名
・メールアドレス
・電話番号
・ハッシュ化されたパスワード
・クレジットカード情報の一部(カードの下4桁、有効期限)
 ※決済に必要な全体のカード番号、カード名義人、セキュリティコードに関してはクービックでは保存しておらず、漏洩した可能性のある情報に含まれていないため、カードの不正利用の可能性は低いとのこと。クレジット情報の一部に関しては、クレジット利用をされた方のみが該当します。

今回の情報漏洩の原因としては、クービック株式会社のサーバー管理用のパスワードが一部漏洩したことが原因と判明し、すでに不正アクセスの侵入経路を遮断し、当該パスワードのリセット及び管理を厳重化する対策を講じており、同様の原因による流出は認められていないとのことです。

しかしながら、『Coubic』ご利用者の皆様には安全性を高めるため、クービックアカウントのログインパスワードの変更をクービック株式会社より推奨されております。
パスワードは https://coubic.com/settings/securityより変更頂けます。なお、パスワードをお忘れの方は、 https://coubic.com/password/forgot よりパスワードの再設定をおこなうことができます。 クービックアカウントと同一のメールアドレス、パスワードを用いて他のサービスを利用されている方は、二次被害防止の為、該当サービスにてログインパスワードを変更いただきますようお願い申し上げます。

Warisでは、皆様に使っていただきやすい予約システムとして『Coubic』を使用しておりましたが、今回のことを通してご利用いただいている皆様には多大なご迷惑をおかけしてしまうこととなり、誠に申し訳ございません。
今後、より安全に皆様に予約をしていただけるように、Coubicを使用したご予約は終了いたします。新しい予約サイトが準備でき次第、予約受付を再開させていただきます。
ご迷惑をおかけして申し訳ございません。
ご理解のほど、よろしくお願い申し上げます。

以下、クービック株式会社からの報告を転載させていただきます。
なお、情報漏洩に関しては大変申し訳ございませんが、Warisでは詳細な情報を保有していないため、直接クービック株式会社にお問いあわせください。

—————————————————
この度、弊社が運営しております予約システム「Coubic」において、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明しました。調査の結果、弊社サーバーの管理用パスワードが一部漏洩したことが原因と特定されました。既に、不正アクセスの侵入経路を遮断し、当該パスワードのリセット及び管理を厳重化する対策を講じており、同様の原因による情報の流出は認められておりません。

お客様及び関係者の皆様に多大なるご心配をお掛けいたしますことを心より深くお詫び申し上げます。なお、現時点で二次被害等の事象は確認されておりませんが、引き続きシステムの監視を実施して参ります。

1. 概要、経緯

平成 31 年 3 月 18 日に、第三者による不正アクセスにより、情報が一部流出した可能性がある旨をセキュリティ専門家から連絡を受けて調査した結果、実際に情報が一部流出したことを確認致しました。

2. 漏洩した可能性のある情報

◇サービス提供者様に関する以下の情報
氏名、メールアドレス、ハッシュ化されたパスワード、電話番号、クレジットカード情報の一部。

クレジットカード情報の一部とは、今回カード番号の下四桁・有効期限が該当します。なお、決済に必要な全体のカード番号・カード名義人名・セキュリティコードは弊社において保存しておらず、今回、漏洩した可能性のある情報に含まれていないため、カードの不正利用の可能性は低いと考えております。

※ ハッシュとは規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です。

◇提供サービス利用者様に関する以下の情報

氏名、メールアドレス、ハッシュ化されたパスワード、クレジットカード情報の一部。

クレジットカード情報の一部とは、今回カード番号の下四桁・有効期限が該当します。なお、決済に必要な全体のカード番号・カード名義人名・セキュリティコードは弊社において保存しておらず、今回、漏洩した可能性のある情報に含まれていないため、カードの不正利用の可能性は低いと考えております。

※ ハッシュとは規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です。

3. 対策について

情報流出の可能性が判明した後原因究明をおこなった結果、弊社サーバーの管理用パスワードが一部漏洩したことが原因と特定されました。既に、不正アクセスの侵入経路を遮断し、当該パスワードのリセット及び管理を厳重化する対策を講じており、同様の原因による情報の流出は認められておりません。また、関係省庁およびセキュリティ専門機関に相談及び報告を実施しております。その他、今後の調査結果に基づいて、以下の対策を行います。

定期的な外部機関による調査の実施 不正や異常を検知しやすい仕組みの導入 更なる情報セキュリティ管理体制の強化

4. お客様へのお願い

クービックアカウントのログインパスワードの変更をお願い申し上げます。パスワードは https://coubic.com/settings/security より変更頂けます。なお、パスワードをお忘れの方は、 https://coubic.com/password/forgot よりパスワードの再設定をおこなうことができます。 クービックアカウントと同一のメールアドレス、パスワードを用いて他のサービスを利用されている方は、二次被害防止の為、該当サービスにてログインパスワードを変更いただきますようお願い申し上げます。

5. 今後の情報開示について 今後の調査の進捗について、新たにお伝えすべき情報が明らかになり次第、適宜情報開示を行ってまいります。

改めまして、お客様に多大なるご心配をおかけ致しますことを、心より深くお詫び申し上げます。

クービック運営事務局
[お問い合わせ窓口]
https://coubic.com/inquiry
Mail:pr@coubic.com
受付期間: 平日 10:00 – 18:00