画像:株式会社誠和より引用
株式会社誠和は2022年6月7日、同社の運用するサーバーが不正アクセスを受けたことにより、同社が運営する複数のサイト(注1)にて顧客クレジットカードおよび取引情報が流出・不正利用された可能性があると明らかにしました。
原因となったのは不正アクセスを仕掛けた攻撃者による改ざん行為です。
同社の説明によると、攻撃者は何らかの手法で被害サイトのシステムファイルを改ざんし、サーバーデータや入力データを書き出し外部流出するよう手を加えていたとのこと。攻撃の影響から、重複データを除く5,548件の個人情報や423件のカード情報について流出の懸念が生じています。
マルウェア対策するも不正アクセスの痕跡は確認されず
株式会社誠和によると同社は2022年2月1日時点で、従業員からカード情報の不正利用について連絡を受け、流出懸念を把握しました。
しかし、同社は2021年12月8日時点で実施したセキュリティ診断により、マルウェアを検出しています。当時、同社はマルウェアの削除や社内調査などのセキュリティ対策を講じましたが、不正アクセスの痕跡を発見するには至らなかったとしています。
ところが2022年2月1日になり、被害サイトを利用した同社従業員から「カード情報が不正利用された」との報告が入り、事態が変化を迎えます。同社が社内でヒアリングを実施したところ、不正利用被害が複数確認されました。
情報流出の懸念を把握した同社は2022年3月11日、第三者調査機関への調査の依頼しています。これにより、第三者による改ざん行為や被害サイト上の取引情報やカード情報の流出懸念が判明したため、同社は関係各所への報告やカード会社との連携を待ち、事実の公表に踏み切りました。
被害サイトの一部は未だ復旧できず
株式会社誠和は現在、被害サイトのセキュリティ改修をしています。
被害サイトのひとつである誠和ホームページはセキュリティ対策が完了したものと判断し、2022年4月25日に公開している状況です。
ただし、残りの2サイトである「誠和オンラインショップ、新時代農業塾」は公表時点で閉鎖状態となっています。同社は再開日を決定次第、公表するとしています。
参照弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/株式会社誠和