福岡ひびき信用金庫は、子会社の「ひびしんキャピタル株式会社」公式サイトが不正アクセスを受け、改ざんされていたと公表しました。2025年9月11日にアクセス不能とリダイレクト挙動を確認し、スパム系ネット通販サイトへ誘導される状態が判明しています。現在はメンテナンス画面のみの表示に切り替え、外部委託先経由で警察に通報済みです。
タイムライン
-
9/10 15:00:サイト管理画面にログインできない事象を確認。委託先がサーバ管理会社へ調査依頼。
-
9/11 11:00:サイトがアクセス不能に。
-
9/11 12:00:不正リダイレクトを確認(スパム通販サイト)。即時、メンテナンス画面のみに切替。
影響範囲
-
個人情報流出:現時点で未確認。同サイトは顧客情報の収集・保存を行っていません。
-
リダイレクト先スパムサイトの実害は調査中ですが、即時のマルウェア感染リスクは確認されていません。
想定される原因
同サイトが設置されているレンタルサーバ内の他社サイトの脆弱性を起点に、サーバ上コンテンツが改ざんされた可能性が高いとしています(詳細は調査継続)
実務メモ(情シス視点)
-
共有サーバ環境では、テナント横断リスクを前提に、WAF・改ざん検知・CSP/SRIの多層防御を実装。
-
管理画面はIP制限・MFAを必須化、CMS/プラグインの最新化と最小化を徹底。
-
インシデント対応では初動封じ込め→完全性回復(クリーン再構築)→証跡保全の順で実施し、DNS・CDNキャッシュの整合も確認。








