Lifebear サーバーへの不正アクセスに関するお詫びとご報告

2019年3月20日 22:30更新

この度、弊社が提供しております電子手帳サービス「Lifebear」に対して第三者による不正アクセスが行われ、情報が不正に取得されたことが判明致しました。弊社では連絡を受け直ちに調査を開始した結果、弊社が管理するデータベースに対し不正なアクセスが行われたことを確認致しました。
調査の結果をもとに、既に対策の実施を完了しており、サーバーの監視を厳重化しております。現在のところ、弊社サーバーへの再度の不正アクセスは確認されておりません。
Lifebear にメールアドレスをご登録頂いておりますお客様におかれましては、お客様へのお願いに記載しております通り、念のため、パスワードの変更をお願い致します。

お客様及び関係者の皆様にご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。



不正取得の対象となったお客様

Lifebear でアカウント登録を行った全てのお客様が対象となります。
※ Lifebear の利用を開始する際などにユーザー名、メールアドレス、パスワードを任意で登録されたお客様はアカウントが登録されている状態です。
アカウント登録の有無の確認については、「本件に関するご質問 Q1.」をご参照ください。
※ 無料プラン・有料プランいずれに加入されていても対象となります。



不正取得が確認された情報

Lifebear にアカウントを登録頂いていたお客様の、以下のユーザー情報です。

  • ユーザー名
  • メールアドレス
  • アプリ内の設定画面「カレンダーの表示に関する設定」の設定値
  • パスワードを確認するための、本来のパスワードが推測できない形で変換された文字列
    • パスワードそのものは保存しておりません。ハッシュ化 (※1) およびソルトの付加 (※2) などの措置を講じることで、パスワードそれ自体を得ることができないような処理を行った上で情報を保管しております。

クレジットカード情報や iTunes アカウント・Google Play アカウントのパスワードといった、商品の購入に関する情報は弊社において一切保存しておりませんので、今回不正に取得された情報には含まれておりません。

※1 ハッシュ化
元のデータの内容や長さを推測できない不規則な固定長の値に変換することで、元のデータに復元できなくする処理。
※2 ソルトの付与
ランダムな内容のデータを付加することで、同一のデータに対しても別のハッシュ値が生成されるようにする処理。


状況の経緯

2019 年 3 月 18 日に外部のセキュリティ専門家より連絡があり、Lifebearに対して第三者による不正アクセスが行われ、情報が不正に取得された可能性が判明致しました。
連絡を受け弊社では直ちに調査を実施し、その結果、過去に運用されていた弊社データベースへの障害対応用のアクセス経路に問題があったことが確認されました。
この度の不正アクセスは、この経路を使って 2019 年 2 月に攻撃が行われたものと判断致しました。



対策の実施

原因調査の結果をもとに、次の対策を直ちに実施致しました。

  1. 弊社が管理するサーバーについて、不正アクセスの原因となる通信経路を遮断致しました。
  2. 今回不正にアクセスされたサーバーを含めた、すべての管理用パスワードのリセットを行いました。

また、弊社では今回の不正アクセス以前より、旧来の内部システムに代わる新しい内部システムの新規構築を進め、アプリのリニューアルと併せてご提供する予定でした。
今回の不正アクセスの発生および調査結果をもとに、予定に先立って旧来の内部システムを完全に停止し、最終テストが完了していた新しい内部システムに置き換えました。

  • 今回の不正アクセスのような、過去の運用に起因する潜在的なセキュリティの脆弱性への対策となります。
  • パスワードのハッシュ化アルゴリズムなどの情報保護の手法についても、より強固なものを利用しております。

以上の対策が完了した後、お客様へアプリの通知およびご登録頂いておりますメールアドレスへのメール送付によって、今回の不正アクセスについてご報告致しました。
今後はセキュリティ専門家の協力を仰ぎ、安全性について継続的に調査・改善を行って参ります。



お客様へのお願い

お客様のパスワード自体は取得されておりませんが、念の為、以下 2 つのご対応をお願い申し上げます。

1. Lifebear のパスワード変更

Lifebear にアカウントをご登録頂いたお客様におかれましては、パスワードの変更をお願い致します。
パスワードはこれまで 16 文字までの英数字が設定可能でしたが、文字数の制限を撤廃し、記号も利用可能とするよう制限を緩和致しましたので、第三者に推測されることのないパスワードを設定頂きますようお願い申し上げます。

パスワードの変更はこちらから行えます。
https://lifebear.com/user/lost_password

2. 他サービスのパスワード変更

Lifebear に登録頂いているメールアドレスとパスワードで他のサービスを利用されておりますお客様は、二次被害を防止するため、該当のサービスでのパスワードも変更頂きますようお願い申し上げます。

この度は、弊社サービスへの不正アクセスにより、お客様に多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。



本件に関するご質問

Q1. アカウントを登録していたかどうかわかりません。どこから確認できますか。

お使いの Lifebear アプリにて、「アカウント情報画面」をご確認ください。
1. 画面左下の [≡] アイコンをタップ
2. メニューの「設定」をタップ
3. 「アカウント情報」をタップ

● アカウントを登録している場合
画面に、ユーザー名/メールアドレスが表示されます。

● アカウントを登録していない場合
画面に、ユーザー名/メールアドレスが表示されず、「アカウントを作成する」ボタンが表示されます。

なお、パソコン版 Lifebear はアカウント登録を行わないと利用ができません。
そのため、パソコン版をご利用のお客様は、アカウントが登録された状態です。

Q2. 登録したアカウント情報を確認したい

● iOS、Androidアプリ版にて確認する方法
上記の「Q1.」を参考に、アカウント情報画面をご確認ください。

● パソコン版にて確認する方法
1. https://lifebear.com/ へアクセスする。
2. 画面右上の「設定」をクリックする。
3. 表示されたメニューから「設定」をクリックする。
4. 画面左の「基本情報設定」の各項目より登録情報をご確認頂けます。

Q3. パスワードの再設定メールが届きません

メールが届くまでお時間を頂戴する場合がございます。1時間ほど経ってもメールが届かない場合は、以下の可能性がございます。

  • アカウント登録をしていない
    アカウント登録しているかどうかは、上記「Q1.」をご確認ください。
  • 「パスワード再設定画面」にて入力したメールアドレス、もしくはユーザー名が間違っている
    お間違いのないように、正確にご入力をお願い致します。
  • 迷惑メールフォルダや、他のフォルダにメールが届いている
    info@lifebear.com から「パスワードの再設定」というタイトルでメールが届きます。
  • 受信拒否設定になっている
    URLを含むメールやパソコンからのメールを拒否設定している可能性があります。
    メール受信設定にて、【info@lifebear.com】を受信許可して頂くように設定をお願い致します。

Q4. 退会(アカウントの削除)はどこからできますか

下記URLより手続きをお願い致します。
https://lifebear.com/user/secede

Q5. その他本件に関するお問い合わせ

こちらからお問い合わせ頂けます。
https://lifebear.com/query



2019年3月18日 23:00発信のご報告