画像:株式会社アクセスより引用
株式会社アクセスは2022年3月23日、同社が運営するオンラインショップ「アクセス オンラインショップ(以下:被害サイト)」が外部からのサイバー攻撃を受け、過去被害サイトにてカード決済したユーザーのクレジットカード情報3,360件が流出した可能性があると明らかにしました。
説明によれば、アクセス社では2020年12月17日にカード会社より連絡が入り、被害サイトからカード情報が流出している可能性について指摘を受けていたとのこと。同社が事実関係を明らかにするため調査したところ、被害サイトのシステム脆弱性を利用した外部からのサイバー攻撃により、決済システムが改ざんされている事実が判明しました。
アクセス社によれば、調査の結果、2019年11月27日~2020年12月17日の期間中に被害サイトにてカード決済したユーザーについて、カード情報およびログインIDやパスワードなどの情報が流出した可能性が生じています。このため、同社は事実公表とともに対象ユーザーらに個別に連絡を取り、注意を促すとしています。
1年3カ月の対応準備
株式会社アクセスによると、同社はカード会社より2020年12月17日に流出リスクについて指摘を受けていますが、被害サイトにて事実を公表したのは2022年3月23日のことで、この間に約1年3カ月後の時間が経過しています。
被害サイトから詳しい経過をたどってみると、同社は調査会社に調査を依頼していますが、完了報告受けたのは被害懸念が生じてから約1年が経過した2021年12月27日です。その後、同社は2022年2月に警察や関係各所への連絡し、2022年3月23日に事実を公表しています。
同社は相当期間が経過した理由として、対応準備を整えていたと説明しています。すなわち、本来ならば速やかに公表すべきであるものの、顧客対応を行うために、調査会社の報告およびカード会社との協議が不可欠と判断したとのこと。
なお、同社は今後セキュリティ強化を実施し、再発防止に取り組むとしています。
参照弊社が運営する「アクセス オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/株式会社アクセス