漫画・ネットカフェチェーンの最大手「快活CLUB」を運営する快活フロンティアは28日、外部からサーバーに不正アクセスを受けた影響で、会員の個人情報729万件が漏えいした可能性があると発表した。この件数は、昨年(24年)に起きた企業の個人情報の漏えい・紛失事故のなかで件数ベースで最多の東京ガス(約416万件)、2位の三菱電機(約231万件)を足した数字よりも大きいが、なぜ、これほど多い件数となったのか。また、なぜ快活CLUBが狙われたのか。業界関係者の見解を交えて追ってみたい。
ソフトドリンクやソフトクリームの無料提供(一部店舗除く)などで人気の、全国に約500店舗を展開する快活CLUB。バリ島をイメージさせる店内には、インターネットが利用できる個室があり、漫画が読めるのはもちろん、店舗によってはオンラインゲームができたり、カラオケ、ダーツ、ビリヤード、コインランドリーもある。部屋の広さや席のタイプも店舗によってさまざまで、ワイドルーム、ファミリールーム、リビングルーム、VIPルーム、マッサージシート、ペアシートなど、利用客が自分の好みや利用目的に合わせて幅広く選択できる。Wi-Fi、ロッカーなどが多くの店舗で無料で利用できるほか、有料サービスとしてはシャワーや食事もとることができる。
料金は店舗によって異なり、東京都内のある店舗は鍵付完全個室の利用で3時間パックが1680円(税込、以下同)、24時間パックが7020円となっている。会員制のため入会金370円がかかる。
快活CLUBは、大手ビジネスウェアチェーン・AOKIホールディングス(HD)が2003年に1号店を出店して始めた事業。運営元の快活フロンティアはAOKIHDの完全子会社であり、快活CLUBのほかにカラオケチェーン「コート・ダジュール」、フィットネス「FiT24」を展開している。
サイバー攻撃の影響範囲
今回、情報漏えいの可能性があるとされているのが、快活CLUBの会員・仮会員、FiT24会員、FiT24インドアゴルフ会員(全て一部が対象)。情報の範囲は以下で、件数は計約729万件に上る。
【情報の範囲】
姓名・カナ姓名・性別・郵便番号・住所・電話番号・生年月日・会員番号・会員種別・会員ステータス・最新保有ポイント及び有効期限・店舗コード・最終会計日時・バーコード・プッシュ通知希望・クーポンメッセージ
なお、会員登録時の身分証明書情報(運転免許証等)、クレジットカード情報、メールアドレス、会員アプリのパスワードは含まれていないという。
経緯としては、1月18日にサーバーに対する不正アクセスを検知し、サーバーからネットワークを切り離すなどの対策を実施。調査により、会員アカウントを管理するシステムへの不正アクセスの形跡が確認された。快活フロンティアは「不正通信の遮断手法の強化等を実施することにより影響の拡大の防止策を講じるとともに、対策本部の設置、警察への相談及び個人情報保護委員会に必要な報告を行っております。引き続き、原因の調査と被害の全容把握に向けて取り組んでまいります」(同社リリースより)としている。
なぜ快活CLUBが狙われたのか。大手SIerのSEはいう。
「会社の発表によれば、一斉に大量のアクセスを仕掛けるDDoS攻撃を受けたということですが、情報を抜かれているということは、合わせ技でウイルス系のソフトも仕掛けられた可能性も考えられます。快活CLUBが攻撃の対象になった理由としては、快活CLUBの持つ会員数が非常に多いという点があるかもしれませんが、快活CLUBが狙われたというよりは、攻撃者がランダムに多数の企業・組織のシステムにウイルスメールを送付したり攻撃を仕掛けていくなかで、たまたま快活CLUBのシステムに脆弱性があり、引っかかった可能性もあります」
