不正アクセスによる個人情報漏洩のお知らせ
停止期間:
2020年4月30日19時30分
2020年7月22日9時00分頃
   ~ 2020年7月22日9時00分頃
2020年7月7日更新
 このたび、鳥取市公式インターネットショップ「とっとり市(いち)」が外部から不正アクセスを受け、とっとり市(いち)のお客さまの情報と、同サーバーで管理しておりましたふるさと納税寄附者さまの情報が外部に漏洩したことが確認されました。
 本件でお客さま・寄附者さまをはじめとした利用者さまに、多大なご心配とご迷惑をお掛けしましたことを深くお詫び申し上げます。

<お願い>
 この流出に伴い、個人情報の入力を求めるフィッシングメールが届いているとのご連絡を複数受けています。不審なメールを受信され た場合、閲覧等を行わず削除するなどの対応をお願いします。
 とっとり市(いち)でご利用になられていた会員ID、パスワード等を他サービス等でもご利用になられている場合は、不正に利用される恐れがあります。ご利用されている場合、念のため、他サービスで速やかにパスワード等の変更のお手続きをおとりいただきますようお願いします。
 なお、とっとり市で購入された履歴である受注情報が漏えいしましたが、会員登録を行わず、とっとり市を利用された方のパスワードは流出していません。この場合、他サイトでのパスワードの変更は不要です。
 また、ふるさと納税寄附者の方で、外部ポータルサイト(ふるさとチョイス、ふるなび、楽天ふるさと納税、さとふる、ANAのふるさと納税、ふるさとプレミアム、ふるぽ)から寄附いただいた方は、「とっとり市」・「鳥取市ふるさと納税スペシャルサイト」のID・パスワードに、各サイトと同様のものを設定されていない場合、パスワードの変更は不要です。


<被害の状況>
以下に、これまでに判明しています被害の状況等の概要をお知らせいたします。


<今回の漏えいの時期・範囲>
第1回 2019年7月12日(金)
(1)会員情報:27,270件
氏名、住所、性別、生年月日、電話番号、メールアドレス、会員ID、パスワード等
(2)受注情報−注文件数:59,021件
注文者の氏名、住所、性別、生年月日、電話番号、メールアドレス、会員ID等
※(1)の会員情報での流出した個人情報以外の個人情報:10,075件
(とっとり市は会員登録無しで発注できますので、会員登録なしの受注情報と上記の会員登録した会員の受注情報も含みます。)
(3)システムの構造部分のデータ(個人情報は含まれておりません)
第2回 2020年2月18日(火)
店舗情報等の個人情報:396件
(1)第1回と重複しない追加流出の個人情報:104件
① 氏名、住所、性別、生年月日、電話番号、メールアドレス、会員ID、パスワード等 :48件
② ふるさと納税寄附情報(金額、返礼品、配送先の個人情報等) :23件
③ 店舗情報(店舗名、代表者名、住所、メールアドレス、電話番号、振込銀行口座、担当者名等) :33件
(2)システムの構造部分のデータ(個人情報は含まれておりません)
第3回 2020年3月15日(日)
(1)システムの構造部分のデータ(個人情報は含まれておりません)
※いずれの流出でも、クレジットカード情報の情報漏洩は確認されておりません。

<経緯・経過>
令和2年4月30日 11:30頃
カスタマーセンターへ、加盟店舗から「フィッシングメールが来た」との連絡があり、システム保守委託会社に調査を依頼。調査したところ不正アクセスおよび情報流出を検知したため、システム停止(同日19:30 )。
5月1日 ~ 7日
調査結果を5月7日にシステム保守委託会社より受領。
5月7日 ~ 7月3日
システム保守委託会社による従前サイト破棄及び再構築。
5月22日 ~ 6月11日
システム保守委託会社での第三者機関による検査・システムの修正。
5月25日 ~ 7月3日
鳥取市による第三者機関での検査検討の協議開始・検査実施・システムの修正。
7月6日
鳥取市セキュリティ対策本部でのサイト再開承認。
7月7日 ~ 7月21日
とっとり市カスタマーセンターによる既存会員へのパスワード変更案内。
7月22日
店舗ページを含む全ページの再開。

<調査結果>
(1)不正アクセス元について
1回目(令和元年7月12日) アメリカのIPアドレスからの不正アクセス
2回目(令和2年2月18日) ロシアのIPアドレスからの不正アクセス
3回目(令和2年3月15日) ロシアのIPアドレスからの不正アクセス
(2)原因について システムの脆弱性に対する外部からの攻撃により、データが流出しました。

<対応等>
(1)専用相談窓口の設置(5月2日より開設)
(2)全会員及びご利用者様へのお詫びと情報漏えいのお知らせの通知
5月 1日深夜 
メールおよびホームページでお知らせ。
5月 2日~  
第2回漏えい対象者(店舗等)にメール・文書等でお知らせ。 
5月 3日   
メールの登録がない方へ文書発送。
5月15日   
メール不着の方へ文書発送。
6月 2日   
メール送付での漏えい者(注文情報)に文書発送(追加)。
以降、会員情報・受注情報での情報漏えい者へ、漏えいの内容で区分して文書発送(6月30日終了)。
(3)外部ポータルサイトご利用の寄附者へ、ID・パスワードに関するお知らせ(5月5日・6日)
(4)参加店舗などへの連絡。
(5)システムの安全性の調査(5月1日以降実施中)、従前システムをスクラップし再構築。
(6)システム保守会社による第三者機関での安全性検査(6月11日終了)を行い、サイトの安全性を確認。
システム保守会社からの最終報告書: システム保守会社報告書(PDF/668KB)
(7)市による第三者機関での安全性検査(7月3日終了)を行い、サイトの安全性を確認。
(8)警察など各機関への通報、報告(5月1日実施。随時、警察の捜査に協力。)


 今回の事態を厳粛に受け止め、更なるセキュリティ対策強化に努め、今後は二度とこのような事態を引き起こすことのないよう努めてまいりますので、何とぞ御容赦くださいますようお願い申し上げます。


【本件に関するお問い合わせ先】
 個人情報に関するお客様ご相談窓口
  電話:0120-932-380(受付時間 8:30~17:30、日曜日を除く)

  ご相談に関するFAQ(2020年06月01日更新)