「スリー（THREE）」や「アンプリチュード（Amplitude）」などを運営するポーラ・オルビスグループのアクロ（ACRO）が、「THREE公式オンラインショップ」および「Amplitude公式オンラインショップ」において第三者による不正アクセスを受け、顧客のクレジットカード情報が漏えいした可能性があると公式サイトで公表した。漏えい件数はTHREE公式オンラインショップで最大8万9295件、Amplitude公式オンラインショップで最大1万4640件。なお、「ITRIM公式オンラインショップ」と「FIVEISM × THREE公式オンラインショップ」では不正アクセスは確認されなかった。

　両サイトともに、利用者のクレジットカード情報の漏えい懸念があることを2021年8月20日に確認。原因について、同社ではクレジットカード情報を所有していなかったが、両サイトのシステムの一部の脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだと説明する。

　情報漏えいの可能性があるのは、2020年5月21日から8月18日の期間にいずれかのサイトで商品を購入し、クレジットカード決済を利用した顧客。クレジットカード名義人名やカード番号、有効期限、セキュリティコードなどが含まれる。ただし、同社によれば、第三者調査機関の調査結果では、不正アクセスを受けたことは確認されたものの、漏えいを明確に示す証跡は確認できなかったという。

　クレジットカード情報が漏えいした可能性のある顧客には、2月24日から順次、電子メールでお詫びとお知らせを個別に連絡。さらに、該当会員に対して、ログインパスワードの再設定を促している。このほか、他サイトでTHREE会員およびAmplitude会員と同様のログインIDとパスワードを利用している人にも、念のため変更手続きを推奨している。

　なお、漏えいの懸念を受け、8月24には第三者調査機関による調査を開始し、10月22日には調査を終了している。公式サイトでは発表までに時間を要したことを謝罪した上で、決済代行会社との協議で、不確定な情報での公開は混乱を招き、また対応準備を整えてからの告知が不可欠だという判断となり、調査結果が出揃い、クレジットカード会社との連携体制を整えてからの発表となったと説明した。

　再発防止策として、4つの全てのサイトについて、使用していたサーバーやシステムを全て破棄し、新たなサーバーとシステムでの再稼動を予定。改修後の各サイトの再開日は、決定次第でウェブサイトで告知する。

■ACRO お客様相談窓口
電話番号：0120-405-051
メール：customer@acro-inc.co.jp
受付時間：9:00〜18:00（土日祝休）
※2月26日（土）・27日（日）は土日も受付対応。