お知らせ
【最終報告】2026年4月1日のシステム障害に関する不正アクセス事案に関する調査結果のご報告
2026年4月1日に発生いたしました、第三者による不正アクセス事案に伴うシステムの一時停止につきまして、外部のセキュリティ専門機関の調査結果を踏まえ判明した事実および今後の再発防止策等についてご報告いたします。
1. 事案の概要
当社が利用していた外部ソフトウェア(オープンソースパッケージ)に悪意のあるプログラムが混入される「サプライチェーン攻撃」を端緒として、当社システムへの不正アクセスが発生いたしました。被害拡大を防止するシステム保護機能が自動作動したことにより、2026年4月1日早朝、当社が提供する『法人カード「UPSIDER」』『PRESIDENT CARD』『AI経理』の各サービスが一時停止する事態となりました。
お客様には多大なるご不便とご心配をおかけしましたことを、改めて深くお詫び申し上げます。
2. 経緯と対応タイムライン
- 2026年3月24日 悪意のあるプログラムが混入された外部ソフトウェアの実行により、開発者端末が侵害される
- 2026年3月25日 一部認証情報の漏えい通知を受領。当該情報を即時無効化し、一次対応を完了
- 2026年3月31日 新たに異なる認証情報の漏えい通知を受領。即座に対策本部を設置。広範な被害範囲の懸念から、全域を対象とした調査・緊急対応を開始
- 2026年4月1日 03:40 被害拡大防止のためシステム保護機能が作動し、全サービスが一時停止
- 2026年4月1日 10:57 ログイン機能・管理画面の復旧
- 2026年4月1日 12:20 カード決済機能の全面復旧
- 2026年4月9日まで 全機能を段階的に復旧
- 2026年4月10日 セキュリティ事案を公表。外部セキュリティ専門機関によるフォレンジック調査を開始
- 2026年5月20日 外部機関による全ログ精査・影響範囲の特定が完了
- 2026年6月12日 最終報告を公開
3. お客様の情報に関する調査結果
外部のセキュリティ専門機関を交えた調査の結果、お客様の情報について以下のとおり確認されました。
カード情報
今回の侵害を受けたネットワーク内において、当社はカード関連情報をトークン化された識別子のみで管理しており、カード番号・暗証番号・セキュリティコードは保持しておりません。外部調査においても、これらの情報への不正アクセスおよびデータ持ち出しの痕跡は確認されませんでした。
個人情報・法人情報
顧客データベースへの通信ログおよび操作ログを精査した結果、外部への情報流出を示す事実は確認されませんでした。本事案に伴い、攻撃者が一部の外部サービス上の情報にアクセスし得た期間がありましたが、調査の結果、実際に情報が閲覧・取得されたことを示す痕跡は確認されておりません。第三者機関による調査評価に基づき、当社は本件による個人情報・法人情報の流出の可能性は極めて低いものと判断しております。
なお本調査では、侵害発生から遮断に至る全期間における取得可能なログの精査を実施いたしました。外部サービスの仕様上の制約によりログ検証が困難な領域においても、外部ベンダーへの直接照会、二次被害や不審な挙動の報告実績を含め総合的に評価した結果、流出の痕跡は確認されておりません。
4. 発生原因
本事案は、システム開発で使用していた外部ソフトウェア(オープンソースパッケージ)に悪意のあるプログラムが混入される「サプライチェーン攻撃」を端緒としています。
- 不正アクセスの原因:当該パッケージを通じて開発用端末が侵害され、これを経由してシステム内部へのアクセスが可能となったためです。
- サービス停止の原因:上記不正アクセスに伴う異常を検知したことにより、被害拡大を防止するシステム保護機能が作動しサーバーが停止したためです。
5. 再発防止策
当社は今回の事案を重く受け止め、昨今高度化するサイバー脅威に対し、従来の防御をさらに進化させる必要があると再認識いたしました。
今後は、入口での侵害防止の強化はもとより、万が一の侵入をも想定し被害を最小化するより強固な防御基盤の確立に向けて、内部アクセス制御の更なる厳格化や、潜在的な予兆を早期に捉えるための多角的な分析基盤と体制の強化など、技術と運用体制の両面からさらなるセキュリティ強化を徹底してまいります。
お客様に安心してサービスをご利用いただけるよう、より堅牢で信頼いただける環境への刷新を、全社を挙げて継続的に実施してまいります。
この度は、多大なるご心配とご不便をおかけしましたことを重ねて深くお詫び申し上げます。