「ABC-MART」「ユーキャン」などが情報漏洩か EFOツール「Form Assist」などへ不正アクセス

ショーケースは10月25日、入力フォーム最適化ツール「フォームアシスト」など、提供する複数のプログラムが外部からの不正アクセスにより改ざんされ、一部取引先のWebサイトから個人情報が外部に流出した可能性があると発表した。情報流出の可能性がある取引先などへの謝罪の意を表明するとともに、第三者専門調査機関による調査の結果や、ソースコードの修正・再発防止策などの対策を講じたことを報告した。ツールを導入しているエービーシー・マートなどが、情報漏洩の可能性について、発表している。

ショーケースはこのほど、同社の提供する「フォームアシスト」「サイト・パーソナライザ」および「スマートフォン・コンバータ」において、第3者による不正アクセスによりソースコードが書き換えられ、一部の取引先のWebサイト等において入力された情報が外部へ流出した可能性があると発表した。2022年7月26日に取引先より「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、自社においてソースコードを調査した結果、システムの脆弱性をついた第3者の不正アクセスにより、「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」のソースコードが書き換えられていたことがわかったとしている。

ショーケースは、同不正アクセスの認知後、直ちに対象サービスのソースコードの修正、第3者の侵入の遮断措置、新設サーバーへの移行等の再発防止策を講じた。こうした措置は現在も継続しており、再発防止策の実施後は、不正なファイルの埋め込みは確認されていない。

不確定な情報の公開はかえっていたずらに混乱を招くことから、関係者への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、第3者専門調査機関の調査完了、および関係各所との連携を待ってからの発表になったとしている。

今回の不正アクセスの認知後、ショーケースでは第3者機関(外部のセキュリティ企業)のフォレンジック調査を実施。当該サービスをECサイトにおいて利用中の取引先が多数あることから、万全を期してクレジットカード情報漏えい事故調査機関(PFI:PCI Forensic Investigator)によるフォレンジック調査も追加で実施した。同フォレンジック調査においても社内調査の結果と同様、対象サービスにおいて第3者不正アクセスによりソースコードが書き換えられ、一部の取引先のWebサイト等において入力された情報が外部へ流出した可能性があることが確認されたとしている。情報が流出した可能性のある取引先は限定的であることも確認されたとし、該当する取引先には個別に情報の流出した可能性がある期間などを通知している。

ショーケースでは、情報流出の可能性がある取引先名・数を公表していないが、エービーシーマート、ユーキャン、富士フイルムイメージングシステムズなど複数の企業が、ショーケースの入力最適化ツールを用いており、今回の不正アクセスにより情報の漏洩があったことを発表している。

ショーケースは同事象について、経済産業省へ報告を行うとともに、所轄警察署にも被害申告を行っており、今後捜査にも全面的に協力していくとしている。