UPSIDERにサプライチェーン攻撃 — OSS経由で不正アクセス、4月1日の決済停止は被害防止措置

法人向けクレジットカードサービスを展開する株式会社UPSIDERは2026年4月10日、4月1日に発生した決済・ログイン機能の停止について、同社が利用するオープンソースソフトウェア（OSS）に第三者が悪意あるプログラムを混入させたことを原因とする不正アクセスがあったと発表した。カード情報および個人情報の漏えいは社内調査の範囲では確認されていないが、外部フォレンジック機関による詳細調査が進行中であり、最終的な影響範囲は5月中に確定する見込みだ。

【続報】2026年4月1日のシステム障害に関する調査結果および第三者による不正アクセスの発生についてのご報告 - 株式会社UPSIDER｜挑戦者を支える世界的な金融プラットフォームを創る — 【続報】2026年4月1日のシステム障害に関する調査結果および第三者による不正アクセスの発生についてのご報告 – 株式会社UPSIDER｜挑戦者を支える世界的な金融プラットフォームを創るより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 サプライチェーン攻撃の経緯
4 カード情報・個人情報への影響
5 対応と今後の見通し
6 背景：OSSを狙うサプライチェーン攻撃の脅威
7 インシデントタイムライン

何が起きた：同社が使用するOSSに悪意あるプログラムが混入され、そのデバイスを起点に3月24日から不正アクセスが実行されたサプライチェーン攻撃。

影響：カード番号はトークン化済みで漏えいは確認されておらず、個人情報・法人情報も現時点では不審アクセスなし。4月1日の約7時間のサービス停止は攻撃によるダウンではなく、被害拡大防止のための能動的措置。

対応：感染端末の隔離・本番環境へのアクセス制限を完了。個人情報保護委員会をはじめとする関係当局へ報告済み。外部フォレンジック調査会社による独立した調査を実施中。

わかっていること／わかっていないこと

わかっていること

攻撃の手口はOSSへの悪意あるプログラム混入を介したサプライチェーン攻撃であること。攻撃の起点となったデバイスが悪用されたのは3月24日。3月31日にクラウドサービス提供元からの通知を受けて被害防止措置が自動発動した。カード番号（PAN）はトークン化によって暗号化されており、PIN・CVV2は侵害のあったネットワーク領域上に存在しなかった。個人情報・法人情報のデータベースへの不審なアクセスおよび漏えいは、社内調査の範囲では確認されていない。個人情報保護委員会をはじめとする関係当局への報告はすでに完了している。

わかっていないこと

最終的な情報漏えいの有無（社内調査で検証が困難な領域が存在するため、外部フォレンジック調査中）。攻撃に使用された具体的なOSSの名称・バージョン・混入の詳細な手口。社内調査範囲外の侵入経路および侵害範囲の全容。

サプライチェーン攻撃の経緯

今回の不正アクセスは、いわゆるサプライチェーン攻撃の手法が用いられた。外部の攻撃者がUPSIDERの利用するOSSのコードやパッケージに悪意あるプログラムを混入させ、同社のシステム環境への侵入口を設けた。3月24日には、当該ソフトウェアを利用したデバイスを起点に攻撃が実行された。

事態が発覚したのは3月31日。クラウドサービス提供元からの通知を受け、システムによる被害防止措置が自動的に作動。同社は直ちに社内調査および初期対応を開始した。4月1日午前3時40分から午前10時49分にかけて発生した決済・ログイン機能の停止は、攻撃によるシステムダウンではなく、同社が被害拡大を防ぐために実施した予防的な措置であると説明している。

カード情報・個人情報への影響

同社によれば、顧客のカード番号（PAN）はトークン化処理により暗号化されて管理されており、暗証番号（PIN）およびセキュリティコード（CVV2）については侵害のあったネットワーク領域上に保持していないため、漏えいは確認されていないとしている。

顧客の個人情報・法人情報を保管するデータベースについても、社内調査の範囲では不審なアクセスおよびデータ漏えいの事実は確認されていないという。ただし同社は「社内調査では検証が困難な領域がある」と明示しており、外部の専門機関による確認が完了するまで断定はできない状況だ。

対応と今後の見通し

同社はインシデント検知後、攻撃の起点となった端末の隔離・確保と本番環境へのアクセス制限の強化という初期対応をすでに完了した。個人情報保護委員会をはじめとする関係当局への報告も速やかに実施したとしている。

現在は社内調査とは独立したフォレンジック調査会社による詳細な調査が進行中だ。影響範囲の最終的な特定と今後の対応方針は、この第三者調査の結果を踏まえて判断される。調査結果の確定は2026年5月中を目処としており、判明次第コーポレートサイトで報告するとしている。

背景：OSSを狙うサプライチェーン攻撃の脅威

オープンソースソフトウェアへの悪意あるコード混入を手口とするサプライチェーン攻撃は、近年セキュリティ分野で特に注目度が高い脅威手法の一つだ。攻撃者は広く普及したライブラリやパッケージへの侵入に成功すれば、そのソフトウェアを利用する多数の組織を一度に標的にできる。2024年に発覚したLinuxの圧縮ツール「XZ Utils」へのバックドア混入事案など、OSSエコシステムを標的とした攻撃事例が相次いでいる。

フィンテック企業は決済インフラという性質上、カード情報や個人情報を大量に扱うため、攻撃者にとって高価値な標的となりやすい。UPSIDERは主に国内スタートアップや成長企業向けに法人クレジットカードを提供しており、利用企業の事業継続にも影響が及ぶ可能性がある。

インシデントタイムライン

2026年3月24日：悪意あるプログラムが混入されたOSSを利用したデバイスを起点として攻撃が実行された

2026年3月31日：クラウドサービス提供元からの通知によりシステムが被害防止措置を自動発動。同社が社内調査・初期対応を開始

2026年4月1日 03:40：カード決済・ログイン等のサービス停止開始（被害拡大防止のための能動的措置）

2026年4月1日 10:49：サービス停止終了（一部復旧）

2026年4月1日：第一報を公式サイトで公表

2026年4月2日：続報・一部復旧状況を公表

2026年4月10日：続報として調査結果および不正アクセス発生を正式発表。個人情報保護委員会等への報告完了を明示

2026年5月中（予定）：外部フォレンジック調査会社による調査結果の確定・公表予定