「スリー」と「アンプリチュード」のECで不正アクセス　クレジットカード情報、最大10万件の漏えいの可能性

「スリー（THREE）」や「アンプリチュード（Amplitude）」などを運営するポーラ・オルビスグループのアクロ（ACRO）が、「THREE公式オンラインショップ」および「Amplitude公式オンラインショップ」において第三者による不正アクセスを受け、顧客のクレジットカード情報が漏えいした可能性があると公式サイトで公表した。漏えい件数はTHREE公式オンラインショップで最大8万9295件、Amplitude公式オンラインショップで最大1万4640件。なお、「ITRIM公式オンラインショップ」と「FIVEISM × THREE公式オンラインショップ」では不正アクセスは確認されなかった。

　両サイトともに、利用者のクレジットカード情報の漏えい懸念があることを2021年8月20日に確認。原因について、同社ではクレジットカード情報を所有していなかったが、両サイトのシステムの一部の脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだと説明する。
　情報漏えいの可能性があるのは、2020年5月21日から8月18日の期間にいずれかのサイトで商品を購入し、クレジットカード決済を利用した顧客。クレジットカード名義人名やカード番号、有効期限、セキュリティコードなどが含まれる。ただし、同社によれば、第三者調査機関の調査結果では、不正アクセスを受けたことは確認されたものの、漏えいを明確に示す証跡は確認できなかったという。
　クレジットカード情報が漏えいした可能性のある顧客には、2月24日から順次、電子メールでお詫びとお知らせを個別に連絡。さらに、該当会員に対して、ログインパスワードの再設定を促している。このほか、他サイトでTHREE会員およびAmplitude会員と同様のログインIDとパスワードを利用している人にも、念のため変更手続きを推奨している。
　なお、漏えいの懸念を受け、8月24には第三者調査機関による調査を開始し、10月22日には調査を終了している。公式サイトでは発表までに時間を要したことを謝罪した上で、決済代行会社との協議で、不確定な情報での公開は混乱を招き、また対応準備を整えてからの告知が不可欠だという判断となり、調査結果が出揃い、クレジットカード会社との連携体制を整えてからの発表となったと説明した。
　再発防止策として、4つの全てのサイトについて、使用していたサーバーやシステムを全て破棄し、新たなサーバーとシステムでの再稼動を予定。改修後の各サイトの再開日は、決定次第でウェブサイトで告知する。

■ACRO お客様相談窓口電話番号：0120-405-051メール：customer@acro-inc.co.jp受付時間：9:00～18:00（土日祝休）※2月26日（土）・27日（日）は土日も受付対応。