脆弱性利用され改ざん被害、会員情報流出か|青山学院会費サイト



画像:IVYCS FEE PAYMENTより引用

株式会社アイビー・シー・エスは2021年1月19日までに、同社が運営するウェブサイト「IVYCS FEE PAYMENT(青山学院会費)」について、同サイトに会員登録したユーザーまたは会費の決済をしたユーザーの情報が外部流出した可能性があると明らかにしました。

発表によれば、同社は2020年5月12日、一部のクレジットカード会社から、同社が運営する別のサイトについて、顧客カード情報の流出に関する指摘を受けていました。このため、同社は別サイトである「IVYCS FEE PAYMENT」についても年会費集金サービスの停止を決定しました。

同社はその後、第三者調査機関を通じた調査や自社による調査を実施しています。これによると、同サイトは外部からの不正アクセスが可能な状態で、2017年6月22日~2020年9月16日の期間にかけて会員登録や会費の支払いをしたユーザーの個人情報が、外部流出した可能性が判明したとのことです。

不正プログラムの混入は確認されずも、改ざん行為など警戒

株式会社アイビー・シー・エスは、被害サイトである「IVYCS FEE PAYMENT」からの会員登録情報の流出可能性を認める一方で、クレジットカード情報は保持しておらず、また、調査においてカード情報の流出に繋がる改ざんや、不正プログラムの混入は確認されなかったとの立場を取っています。

しかしながら、同社が運営する別サイトでは、クレジットカード会社からカード情報流出の指摘を受けています。このことから、同社は「IVYCS FEE PAYMENT」においても対象期間の2019年6月25日~2020年5月12日にかけて「IVYCS FEE PAYMENT」でカード利用したユーザーについても流出可能性があるとして、注意喚起を決定。また、調査では見つからなかったものの、決済時に偽の決済フォームへ誘導するなどの改ざんがあった可能性を否定できないとの認識を示しました。

なお、同社は今後、再発防止に向けセキュリティ強化などを進めるとしています。

参照弊社が運営する「IVYCS FEE PAYMENT(青山学院会費)」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ(第2報)/株式会社アイビー・シー・エス