東京ガス、『ふろ恋 私だけの入浴執事』のサービスを4月30日12時より再開　不正アクセスで運営を停止していた

1. 事案の概要
本年1月29日に、当該ウェブサイトが外部からの不正アクセスを受けたことによりウェブ会員10,365件のメールアドレスおよびニックネームが流出していたことが判明いたしました。
弊社は、当該ウェブサイト等へのさらなる不正アクセスや情報流出を防止するため、1月30日から当該ウェブサイトおよびスマートフォン用アプリを一時的に停止し、原因究明ならびに当該ウェブサイトの健全性に関する調査を開始いたしました。なお、現時点で流出した情報が悪用された事実は確認されておりません。

2. 発生原因
弊社では、ウェブサイト等の運用開始および運用方法等の変更があった場合には、ウェブサイトのセキュリティレベル等について、弊社担当部門が精査した上で運用可否を判断（以下、セキュリティ審査）しております。しかしながら、当該ウェブサイトについては、セキュリティ審査の申請内容と実際の運用状況が異なっており、一部のサーバーにおいて当社の求めるセキュリティレベルが確保できていないことが判明し、その結果、外部からの不正アクセスを受け、この度の事態が発生したことが判明いたしました。

3. 第三者による検証結果
フォレンジック調査※2を実施した結果、当該事案以外に当該ウェブサイトおよびスマートフォン用アプリのサーバーへの不正侵入、マルウェアなどによる不正なデータアクセスは確認されませんでした。また、脆弱性診断を実施し健全性が保たれていることを確認しました。
※2 データ抽出やログ解析により、実際にどのような操作が行われたのかを解明するもの

4. 再発防止策
システム変更を行う場合はセキュリティ審査を実施するルールを再徹底し、ウェブサイトの運用状況とセキュリティ審査申請内容との適合状況の確認を適宜実施するとともに、不正アクセス等の監視を強化いたします。

5. ウェブサイトおよびアプリの再開
当該ウェブサイトおよびスマートフォン用アプリについては、4月30日に再開させていただく予定です。詳細につきましては当該ウェブサイト等にてお知らせいたします。

弊社といたしましては、お客さま情報の保護を極めて重要な事項と認識しており、本件を真摯に受け止め、情報セキュリティ対策のさらなる強化を行い、再発防止に努めてまいります。