このたび、当社が提供する「フォームアシスト」、「サイト・パーソナライザ」、及び「スマートフォン・コンバータ」(以下、「対象サービス」といいます。)におきまして、第三者による不正アクセスにより、ソースコードの書き換えがなされ(以下、「本件事象」といいます。)、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。
当社のサービスをご利用されているお取引先様をはじめ、ご関係者の皆様には多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。
なお、本件事象により情報が流出した可能性のあるお取引先様には、すでに、個別に連絡を差し上げております。
今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、本件事象の概要及び当社の対応につきまして、下記のとおりご報告いたします。
1. 発覚の経緯について
当社のお取引先様から、2022年7月26日、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。
本日公表させていただくにあたり、不確定な情報の公開はかえっていたずらに混乱を招くため、ご関係者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は第三者専門調査機関の調査完了、及び関係各所との連携を待ってから行うことにいたしました。
本公表までお時間をいただきましたこと、お詫び申し上げます。
2. 当社の対応について
当社は、本件事象の認知後、直ちに、対象サービスのソースコードの修正、第三者の侵入を遮断する措置、新設サーバーへの移行等の再発防止策を講じ、現在もこのような再発防止策を継続しております。再発防止策の実施後、本件事象で問題となりました不正なファイルの埋め込みは確認されておりません。
その他、当社といたしましては、今後ともお取引先様にご迷惑をおかけしないよう、順次対策を講じてまいる所存でございます。
また、当社は、本件事象の認知後速やかに第三者機関(外部のセキュリティ企業)のフォレンジック調査を実施いたしました。もっとも、ECサイトにおいて当社のサービスをご利用中のお取引先様が多数いらっしゃることから、万全を期して、クレジットカード情報漏えい事故調査機関(PFI:PCI Forensic Investigator)によるフォレンジック調査も追加で実施いたしました。同フォレンジック調査におきましても、当社の社内調査結果と同様、対象サービスにおいて第三者による不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが確認されましたが、本件事象により情報が流出した可能性のあるお取引先様は限定的であることも確認されました。本件事象により情報が流出した可能性のあるお取引先様に対しましては、流出した可能性のある情報及び情報が流出した可能性のある期間について個別に通知しております。
また、当社は、本件事象につきまして、経済産業省へ報告を行うとともに、所轄警察署にも被害申告をしており、今後捜査にも全面的に協力してまいります。