株式会社UPSIDERホールディングスは6月12日、4月1日に発生した同社サービスでのシステム障害について、最終報告を発表した。
同社では、同社利用の外部ソフトウェア(オープンソースパッケージ)に悪意のあるプログラムが混入される「サプライチェーン攻撃」を端緒として、同社システムへの不正アクセスが発生し、被害拡大を防止するシステム保護機能が自動作動したことで、4月1日早朝から同社が提供する「法人カード『UPSIDER』」「PRESIDENT CARD」「AI経理」の各サービスが一時停止していた。
同社によると、3月24日に悪意のあるプログラムが混入された外部ソフトウェアの実行で開発者端末が侵害され、3月25日には一部認証情報の漏えい通知を受領したため、当該情報を即時無効化したが、3月31日には新たに異なる認証情報の漏えい通知を受領したため対策本部を設置し、広範な被害範囲の懸念から全域を対象とした調査・緊急対応を開始、4月1日午前3時40分に被害拡大防止のためシステム保護機能が作動し、全サービスが一時停止したという。
同社で外部のセキュリティ専門機関を交えた調査の結果、顧客情報について下記の通り確認している。
・カード情報
侵害のあったネットワーク内ではカード関連情報をトークン化した識別子のみで管理していたため、カード番号・暗証番号・セキュリティコードは保持しておらず、外部調査でも、これらの情報への不正アクセスやデータ持ち出しの痕跡は確認されず。
・個人情報・法人情報
顧客データベースへの通信ログおよび操作ログを精査した結果、外部への情報流出を示す事実は確認されず。本事案に伴い、攻撃者が一部の外部サービス上の情報にアクセスし得た期間があったが、調査の結果、実際に情報が閲覧・取得されたことを示す痕跡は確認されなかった。第三者機関による調査評価に基づき、同社では本件による個人情報・法人情報の流出の可能性は極めて低いものと判断している。
なお同調査では、侵害発生から遮断に至る全期間における取得可能なログの精査を実施しており、外部サービスの仕様上の制約でログ検証が困難な領域についても、外部ベンダーへの直接照会、二次被害や不審な挙動の報告実績を含め総合的に評価した結果、流出の痕跡は確認されていない。
同社では今後、入口での侵害防止の強化に加え、万が一の侵入をも想定し被害を最小化するより強固な防御基盤の確立に向けて、内部アクセス制御の更なる厳格化や、潜在的な予兆を早期に捉えるための多角的な分析基盤と体制の強化など、技術と運用体制の両面からさらなるセキュリティ強化を徹底するとのこと。
