2026年6月12日、株式会社UPSIDER(法人カード「UPSIDER」、カードサービス「PRESIDENT CARD」、経理業務支援サービス「AI経理」を提供)でサイバー攻撃によるシステム障害が発生。
外部専門機関による調査結果を踏まえた最終報告を公表した。
同社によると、事案は2026年4月1日に発生。
原因は、本事案は同社が利用していたオープンソースソフトウェア(ソースコードが公開され、誰でも利用・改変できるソフトウェア)に悪意のあるプログラムが混入されたことを発端とするサプライチェーン攻撃(ソフトウェアやサービスの供給網を経由して侵入する攻撃)によるものだったという。
攻撃者は2026年3月24日、当該ソフトウェアを利用していた開発者端末へ侵入し、その後、一部の認証情報が外部へ流出したことが確認されている。
事案の発覚は、2026年3月25日および3月31日に受領した認証情報流出に関する通知がきっかけだった。
4月1日には被害拡大防止のためのシステム保護機能が自動的に作動し、「UPSIDER」「PRESIDENT CARD」「AI経理」の各サービスが停止している。
UPSIDERは対応として、流出した認証情報を即時無効化するとともに対策本部を設置。
なお同社は、この停止は攻撃によるシステムダウンではなく、被害拡大を防ぐための防御措置だったと説明している。
障害発生当時は一部カード決済機能のほか、Web管理画面、モバイルアプリ、SlackやMicrosoft Teamsへの通知機能、会計ソフトとの連携機能などに影響が発生した。
ログイン機能は4月1日午前10時57分に復旧し、カード決済機能も同日午後12時20分に全面復旧。
その後段階的な復旧作業が進められ、4月9日までに全機能の復旧が完了した。
被害状況について、外部のセキュリティ専門機関によるフォレンジック調査(デジタル証拠を保全・解析する調査)を実施。
その結果、顧客のカード情報や個人情報、法人情報を保存するデータベースへの不正アクセスや情報流出は確認されなかったとのことで、不正決済や金銭的被害も確認されていない。
再発防止策として同社は、ソフトウェアサプライチェーン管理の強化、認証情報管理の見直し、権限管理の厳格化、セキュリティ監視体制の強化、インシデント対応体制の向上などを進める方針を示しており、「セキュリティ体制の抜本的な強化に取り組む」としている。