不正取得の対象となったお客様

Lifebear でアカウント登録を行った全てのお客様が対象となります。
※ Lifebear の利用を開始する際などにユーザー名、メールアドレス、パスワードを任意で登録されたお客様はアカウントが登録されている状態です。
アカウント登録の有無の確認については、「本件に関するご質問 Q1.」をご参照ください。
※ 無料プラン・有料プランいずれに加入されていても対象となります。

不正取得が確認された情報

Lifebear にアカウントを登録頂いていたお客様の、以下のユーザー情報です。

• ユーザー名
• メールアドレス
• アプリ内の設定画面「カレンダーの表示に関する設定」の設定値
• パスワードを確認するための、本来のパスワードが推測できない形で変換された文字列
  • パスワードそのものは保存しておりません。ハッシュ化 (※1) およびソルトの付加 (※2) などの措置を講じることで、パスワードそれ自体を得ることができないような処理を行った上で情報を保管しております。

クレジットカード情報や iTunes アカウント・Google Play アカウントのパスワードといった、商品の購入に関する情報は弊社において一切保存しておりませんので、今回不正に取得された情報には含まれておりません。

※1 ハッシュ化

元のデータの内容や長さを推測できない不規則な固定長の値に変換することで、元のデータに復元できなくする処理。

※2 ソルトの付与

ランダムな内容のデータを付加することで、同一のデータに対しても別のハッシュ値が生成されるようにする処理。

状況の経緯

2019 年 3 月 18 日に外部のセキュリティ専門家より連絡があり、Lifebearに対して第三者による不正アクセスが行われ、情報が不正に取得された可能性が判明致しました。
連絡を受け弊社では直ちに調査を実施し、その結果、過去に運用されていた弊社データベースへの障害対応用のアクセス経路に問題があったことが確認されました。
この度の不正アクセスは、この経路を使って 2019 年 2 月に攻撃が行われたものと判断致しました。

対策の実施

原因調査の結果をもとに、次の対策を直ちに実施致しました。

1. 弊社が管理するサーバーについて、不正アクセスの原因となる通信経路を遮断致しました。
2. 今回不正にアクセスされたサーバーを含めた、すべての管理用パスワードのリセットを行いました。

また、弊社では今回の不正アクセス以前より、旧来の内部システムに代わる新しい内部システムの新規構築を進め、アプリのリニューアルと併せてご提供する予定でした。
今回の不正アクセスの発生および調査結果をもとに、予定に先立って旧来の内部システムを完全に停止し、最終テストが完了していた新しい内部システムに置き換えました。

• 今回の不正アクセスのような、過去の運用に起因する潜在的なセキュリティの脆弱性への対策となります。
• パスワードのハッシュ化アルゴリズムなどの情報保護の手法についても、より強固なものを利用しております。

以上の対策が完了した後、お客様へアプリの通知およびご登録頂いておりますメールアドレスへのメール送付によって、今回の不正アクセスについてご報告致しました。
今後はセキュリティ専門家の協力を仰ぎ、安全性について継続的に調査・改善を行って参ります。

お客様へのお願い

お客様のパスワード自体は取得されておりませんが、念の為、以下 2 つのご対応をお願い申し上げます。

1. Lifebear のパスワード変更

Lifebear にアカウントをご登録頂いたお客様におかれましては、パスワードの変更をお願い致します。
パスワードはこれまで 16 文字までの英数字が設定可能でしたが、文字数の制限を撤廃し、記号も利用可能とするよう制限を緩和致しましたので、第三者に推測されることのないパスワードを設定頂きますようお願い申し上げます。

パスワードの変更はこちらから行えます。
https://lifebear.com/app/user/resetPassword

2. 他サービスのパスワード変更

Lifebear に登録頂いているメールアドレスとパスワードで他のサービスを利用されておりますお客様は、二次被害を防止するため、該当のサービスでのパスワードも変更頂きますようお願い申し上げます。

この度は、弊社サービスへの不正アクセスにより、お客様に多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。