画像：株式会社ACROより引用

株式会社ACROは2022年2月24日、同社が運営する「THREE公式オンラインショップ」及び「Amplitude公式オンラインショップ」（以下：被害サイト）が何者かのサイバー攻撃を受けたことにより、過去被害サイトにてクレジットカード決済したユーザーのカード情報最大103,935件等が流出した可能性があると明らかにしました。

流出の懸念が浮上したのは2021年8月20日のことで、ACRO社は第三者調査機関に調査を依頼した後に被害サイトを含む4サイトの停止措置などの対応策を実行しています。調査は2021年10月22日に完了しましたが、被害サイトには不正アクセスの原因となるシステム上の脆弱性が見つかりました。

ACRO社によれば、攻撃者は被害サイトに内在していた脆弱性を利用して、決済フォームを改ざんすることにより情報を盗み出していたものと見られます。また、攻撃者が被害サイト会員情報にもアクセスした可能性があることから、IDやパスワードが流出した可能性も否定できない状況です。同社はこのため、関係当局に報告するとともに被害ユーザーに対して謝罪し経緯を発表しています。

サーバーやシステムを破棄し再構築

ACRO社は不正アクセスの判明を受け、監視体制の強化および不正アクセスの防止に向けた施策を講じています。

具体的には今回の調査結果を踏まえたセキュリティ対策を講じる予定で、被害サイトを含む運営4サイトについては、サーバーやシステムを全て破棄した上で、新たに再構築すると発表。不正アクセス防止に向けた抜本的な対策を講じることで、再発を防止する見通しを示しました。

参照弊社が運営する「THREE公式オンラインショップ」及び「Amplitude公式オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/株式会社ACRO