ナカバヤシ株式会社のasueのブランドと通販サイトへ不正アクセス

セキュリティニュース

投稿日時: 更新日時:

ナカバヤシ株式会社のasueのブランドと通販サイトへ不正アクセス

2025年8月20日、ナカバヤシ株式会社は、自社が運営する「asue」ブランドサイトおよびオンラインショップに対し、第三者による不正アクセスが発生した可能性を公表しました。現時点で個人情報の漏えいは確認されていませんが、漏えいの可能性を否定できないとして、

サイト閉鎖や外部専門機関による調査を進めています。

不正アクセスの概要

  • 8月5日(火):サイトの「レイアウト崩れ」を検知し、外部委託業者へ連絡。初期対応を実施。

  • 8月9日(土)〜8月17日(日):夏季休暇。

  • 8月18日(月):事象が再発。外部業者と再調査の結果、不正アクセスの痕跡と情報漏えい可能性を否定できないことを確認。

  • 8月19日(火):ブランドサイトおよびオンラインショップを閉鎖

  • 8月20日(水):第一報を公表。会員向けに個別連絡を開始。外部専門調査会社へ正式に調査依頼。

対象サイト

技術的考察:レイアウト崩れが示す兆候

「レイアウト崩れ」は、単なるCSS/テンプレート不整合のほか、改ざんや外部スクリプト挿入の兆候でもあります。今回、再発後に不正アクセスの痕跡が確認されていることから、以下のシナリオを中心に精査する妥当性があります。

  1. CMS/テーマ改ざん:テンプレートやテーマファイルに不正スクリプトを混入(head/footerへの挿入、難読化JS、iframe埋め込み等)。

  2. プラグイン/ライブラリ由来:脆弱なプラグイン経由の侵入、CDNホストの改ざん、外部依存JSのハイジャック。

  3. 認証情報の漏えい:運用アカウントの流出による管理画面からの直接改変。

  4. サプライチェーン:外部委託先の開発・運用環境を足掛かりにした改ざん。

  5. キャッシュ汚染:キャッシュサーバ/CDN経由の改変で不整合表示。