化粧品の製造販売を行う「株式会社ACRO」において、不正アクセスにより顧客情報が流出した可能性が発覚した。

概要

ACRO社によると、不正アクセスが判明したのは2021年8月20日。
同社が運営する「THREE公式オンラインショップ」および「Amplitude公式オンラインショップ」にて情報流出の可能性が確認された。

外部調査機関の調査の結果、システム内に存在したセキュリティ上の脆弱性を突いた不正アクセス被害が判明。
第三者により、各サイトの決済アプリケーションが改ざんされ、顧客情報を窃取された可能性が浮上している。

影響範囲

影響が懸念されている顧客情報は以下の通り。
期間：2020年5月21日から2021年8月18日
対象：「THREE公式オンラインショップ」利用者89,295名および、「Amplitude公式オンラインショップ」14,640名
流出情報：クレジットカード情報（名義人名、カード番号、有効期限、セキュリティコード）、会員ID・パスワード

対応

ACRO社は、クレジットカード会社と連携し被害対象とみられる取引内容のモニタリングを実施。
全ユーザーに向け、クレジットカード明細内に身に覚えのない請求項目がないか確認を呼び掛けている。
合わせて、不正ログイン防止のため現在「THREE公式オンラインショップ」および「Amplitude公式オンラインショップ」にて使用しているID・パスワードの変更を推奨している。

なお、現在各サイトは運営を全面的に停止。
サーバーやシステムを一新し、再開を予定しているとのこと。