この度、弊社が運営するWEBサイトに対し、外部からの不正アクセスが発生し、それにより弊社が保有していたお客様の個人情報の一部が流出した可能性があると判断いたしました。
お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを深くお詫び申し上げます。
今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。
なお、現時点において個人情報の不正流用などの二次被害は確認されておりません。クレジットカード情報につきましては外部決済会社に委託しておりますので、漏洩、流出の可能性はないものと判断しております。
今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。
1.経緯
■2025年4月16日(水)
- 弊社が運営する「アクリル購買部(以下、当サイト)」において社内より管理画面が表示されない旨の報告あり。
- 速やかに調査をいたしました結果、当サイトに複数の改ざんファイル、不審なフォルダおよびマルウェア(有害ファイル)を発見。
- 同サーバー内の関連サイトにも同様の痕跡を確認。
- 当社の顧客情報が保管されていたデータベースを標的とした第三者によるサイバー攻撃であると断定。
- サイト復旧とマルウェアの除去および改ざんファイルの修復を実施。
- 管理者パスワードの変更、IP制限の個別指定、Web Application Firewallの確認を実施。
■2025年4月17日(木)
- 過去アクセスログを元に感染源を調査。
- 4月15日にマルウェアが実行された形跡を確認。
- 当該マルウェアにはデータベース接続情報を外部に送信する機能が含まれていたことを確認。
- ECサイトにて情報漏洩の可能性について公表。
- 関係各所への連絡、会員顧客にむけてパスワード強制変更によるパスワード再設定依頼をメール送信。
- 非会員情報の改ざん、および注文データ追加を外部アクセスの可能性を確認し、情報漏洩の可能性が極めて高いと判断。
■2025年4月18日(金)
- 管理者IDおよびパスワードを使用したサイトやデータベースの乗っ取り行為は無しと確認。
- サーバー運営会社に対しSQLログの開示を正式に依頼。
■4月19日(土)
- 定期的にアクセスログにより不正アクセスを注視。
■4月20日(日)
- 再度、外部からの不正アクセスによる注文情報の追加を確認。
- サイトを緊急メンテナンスモードに切り替え、全アクセスを遮断。
■4月21日(月)
- ファイルの再確認を行い、改ざんファイルは未検出と確認。
- サーバーの入替作業を実施。
2.個人情報の内容
上記により流出した可能性のある個人情報は、弊社「アクリル購買部」のご利用のお客様と情報については、下記のとおりです。
ログインパスワードは、一旦4月17日に緊急対応のため初期設定化しております。
対象人数: 会員約4,200名、非会員約9,000名
対象期間: 2022年10月 〜 2025年4月
対象情報: 氏名、住所、電話番号、メールアドレス、暗号化されたパスワード、注文情報、購入履歴
※クレジットカード情報につきましては外部決済会社に委託しておりますので、漏洩、流出の可能性はないものと判断しております。
対象ドメイン: 弊社ECサイトおよび同一サーバー上に存在していた関連サイト群
業務影響: サイトを一時停止、緊急対応を実施。4月22日付で新サーバーにて復旧完了済み
3.原因と対応
(原因)
当サイトにて、2025年4月15日(火)に悪意のある第三者による不正アクセスが発生
(対応)
サイト復旧とマルウェアの除去および改ざんファイルの修復を実施。
管理者パスワードの変更、IP制限の個別指定、Web Application Firewallの確認を実施。
ECサイトにて情報漏洩の可能性について公表。
関係各所への連絡、会員さまにむけてパスワード強制変更によるパスワード再設定依頼をメール送信。
改ざんファイルが未検出を確認後、サーバーの入替を実施。
(行政への届出)
個人情報保護委員会へ報告済み
4.今後の対応と再発防止策について
(1)事実調査の推進
- 外部専門家である第三者機関との連携も視野に入れ、セキュリティ体制の調査及び改善
(2)再発防止策
- 全てのサイトおよびネットワークに対する監視体制を徹底強化
- 同一サーバー内に存在していた関連サイト群の完全分離および再構築
- ファイル改ざん監視システムの導入と自動アラートの設置
- CMS本体およびプラグイン・テーマの最新版適用と定期的な脆弱性診断
- APIキーやSMTP情報の定期的な再発行および運用ポリシーの見直し
- サーバーの全面入れ替えと構成の見直しによるセキュリティ強化
なお、今後新たな情報が判明した場合は、随時お知らせまたは当社ホームページにて報告いたします。
5.お客様へのお願い
- 本日現在、被害等は確認されていないものの、万が一、お客様やご勤務先のドメイン(注:メールアドレスの@以降の記述)を使用したアドレスへ身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。
- また、見知らぬ番号より不審な電話があった場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
- 当社に登録されていたパスワードを他のWEBサイト等でもご利用されている場合は、早急に変更をしていただきますようお願いいたします。
- 身に覚えのない代引き商品が届いた場合は受け取りを拒否していただきますようお願いいたします。