株式会社UPSIDERホールディングスは4月10日、4月1日に発生した同社サービスの決済やログイン機能等の停止について、調査結果を発表した。
同社では4月1日午前3時40分頃から、一部のカード決済、UPSIDER Web管理画面、UPSIDERモバイルアプリ、Slack・Microsoft Teamsへの通知、会計ソフトへの連携などの機能で不安定な状況が発生していた。
同社によると、同社が利用しているオープンソースソフトウェアに第三者から悪意あるプログラムが混入され、それを通じて同社環境への不正アクセスが行われたことが原因という。
同社では3月24日に、当該ソフトウェアを利用したデバイスが起点となって攻撃が実行され、3月31日にクラウドサービス提供元からの通知で、システムによる被害防止措置が作動し、同時に社内調査と初期対応を開始していた。なお、4月1日午前3時40分から午前10時49分に発生したカード決済・ログイン等のサービス停止は、被害の拡大を未然に防ぐための措置で、攻撃によるシステムダウンではない。
また、顧客のカード情報について、カード番号(PAN)は暗号化(トークン化)されており、暗証番号(PIN)およびセキュリティコード(CVV2)は侵害のあったネットワーク領域上に保持しておらず、漏えいは確認されていない。
同社データベースに保管されている顧客の個人情報・法人情報についも、社内調査の範囲では該当のデータベースへの不審なアクセスおよび漏えいの事実は現時点で確認されていない。ただし、社内調査では検証が困難な領域があるため、より詳細な調査を外部の専門機関を交えて進めている。
同社では事態の検知後に、攻撃の起点となった該当端末の隔離・確保、および本番環境へのアクセス制限の厳格化など、初期対応をすでに完了しており、現在は同社の社内調査とは独立した第三者の専門機関(フォレンジック調査会社)による詳細な調査を実施している。
同社では今後の対応方針について、5月中を目処に確定する見込みの調査結果を踏まえて適切に判断するとのこと。
