鳥取市

公式インターネットショップとっとり市(いち)およびふるさと納税会員情報の流出に関する対応状況等について更新日:

 このたび、鳥取市公式インターネットショップ「とっとり市(いち)」が外部から不正アクセスを受け、とっとり市(いち)のお客さまの情報と、同 サーバーで管理しておりましたふるさと納税寄附者さまの情報が外部に漏洩したことが確認されました。
 
 本件でお客さま・寄附者さまをはじめとした利用者さまに、多大なご心配とご迷惑をお掛けしましたことを深くお詫び申し上げます。

<お願い> 
〇 不審なメールへのご対応
 この流出に伴い、個人情報の入力を求めるフィッシングメールが届いているとのご連絡を複数受けています。不審なメールを受信された場合、閲覧等を行わず削除するなどの対応をお願いいたします。

〇 パスワードの変更
 とっとり市でご利用になられていた会員ID(メールアドレス)、パスワードを他サービス等でもご利用になられている場合は、不正に利用される恐れがあります。ご利用されている場合、念のため、他サービスで速やかにパスワード等の変更のお手続きをおとりいただけますようお願いいたします。

<他サイトでのパスワード等の変更がご不要の場合> 
〇 とっとり市サイトのご利用者の方
 会員登録を行わず、とっとり市をご利用された方は、パスワードの登録はございません。
 他サイトでのパスワードの変更は不要です。

〇 ふるさと納税寄附者の方
 外部ポータルサイト(ふるさとチョイス、ふるなび、楽天ふるさと納税、さとふる、ANAのふるさと納税、ふるさとプレミアム、ふるぽ)から寄附いただいた方は、「とっとり市」・「鳥取市ふるさと納税スペシャルサイト」の会員として登録されておりますますが、ID・パスワードは自動で割り振られており、各ポータルサイトと同様のものを設定し直されていない場合、パスワードの変更は不要です。

<会員について>
 鳥取市へ寄附をお申し込みいただいた場合は、
「鳥取市ふるさと納税」及び「とっとり市」の会員として、寄附者の方の寄附者情報を管理しております。なお、会員登録が完了した際にはメール等でお知らせしております。

 

<被害の状況>
 
これまでに判明しています被害の状況等の概要をお知らせいたします。
 今後もお知らせすべき情報が判明しましたら、随時ホームページ上でご報告させていただきます。

<経緯・経過・予定>
令和2年4月30日 11:30頃  
 カスタマーセンターへ、加盟店舗から「フィッシングメールが来た」との連絡があり、システム保守委託会社に調査を依頼。
 調査したところ不正アクセスおよび情報流出を検知したため、システム停止(同日19:30~)。

5月1日 ~ 7日  調査結果を5月7日にシステム保守委託会社より受領。

5月7日 ~ 7月3日 システム保守委託会社による従前サイト破棄及び再構築。
5月22日 ~ 6月11日 システム保守委託会社での第三者機関による検査・システムの修正。
5月25日 ~ 7月3日 鳥取市による第三者機関での検査検討の協議開始・検査実施・システムの修正。

7月6日      鳥取市セキュリティ対策本部でのサイト再開承認。
7月7日 ~ 21日 とっとり市カスタマーセンターによる既存会員(ふるさと納税からの会員を除く)へのパスワード変更案内。
7月22日 9:00頃 店舗ページを含む全ページの再開。

<調査結果>
 
⑴ 不正アクセス元について  1回目(令和元年7月12日) アメリカのIPアドレスからの不正アクセス
                2回目(令和2年2月18日) ロシアのIPアドレスからの不正アクセス
                3回目(令和2年3月15日) ロシアのIPアドレスからの不正アクセス
   ⑵ 原因について   システムの脆弱性に対する外部からの攻撃により、データが流出しました。


<対応等>
 ⑴ 専用相談窓口の設置(5月2日より開設)
 ⑵ 全会員及びご利用者様へのお詫びと情報漏えいのお知らせの通知
  5月 1日深夜 メールおよびホームページでお知らせ。

  5月 2日~  第2回漏えい対象者(店舗等)にメール・文書等でお知らせ。 
  5月 3日   メールの登録がない方へ文書発送。
  5月15日   メール不着の方へ文書発送。
  6月 2日   メール送付での漏えい者(注文情報)に文書発送(追加)。
   以降、会員情報・
受注情報での情報漏えい者へ、漏えいの内容で区分して文書発送(6月30日終了)。
 ⑶ 外部ポータルサイトご利用の寄附者へ、ID・パスワードに関するお知らせ(5月5日・6日)
 ⑷ 参加店舗などへの連絡。
 ⑸ システムの安全性の調査(5月1日以降実施中)、従前システムをスクラップし再構築。
 ⑹ システム保守会社による第三者機関での安全性検査(6月11日終了)を行い、サイトの
安全性を確認。
   システム保守会社からの最終報告書  システム保守会社報告書(PDF/670KB)
 ⑺ 市による第三者機関での安全性検査(7月3日終了)を行い、サイトの安全性を確認。
 ⑻ 警察など各機関への通報、報告(5月1日実施。随時、警察の捜査に協力。)

 

 令和2年5月7日最終 公式インターネットショップとっとり市(いち)及びふるさと納税会員情報の流出について(PDF/225KB)
 令和2年5月3日時点 公式インターネットショップとっとり市(いち)及びふるさと納税会員情報の流出について(PDF/234KB)
 令和2年5月1日時点 公式インターネットショップとっとり市(いち)及びふるさと納税会員情報の流出について(PDF/115KB)

ぜひアンケートにご協力ください

Q1. このページの内容は参考になりましたか?
Q2. このページの内容はわかりやすかったですか?
Q3. このページは見つけやすかったですか?
Q4. このページはどのようにしてたどり着きましたか?