福岡ひびき信用金庫の子会社サイトが改ざん被害

セキュリティニュース

投稿日時: 更新日時:

福岡ひびき信用金庫の子会社サイトが改ざん被害

福岡ひびき信用金庫は、子会社の「ひびしんキャピタル株式会社」公式サイトが不正アクセスを受け、改ざんされていたと公表しました。2025年9月11日にアクセス不能とリダイレクト挙動を確認し、スパム系ネット通販サイトへ誘導される状態が判明しています。現在はメンテナンス画面のみの表示に切り替え、外部委託先経由で警察に通報済みです。

タイムライン

  • 9/10 15:00:サイト管理画面にログインできない事象を確認。委託先がサーバ管理会社へ調査依頼。

  • 9/11 11:00:サイトがアクセス不能に。

  • 9/11 12:00:不正リダイレクトを確認(スパム通販サイト)。即時、メンテナンス画面のみに切替。

影響範囲

  • 個人情報流出:現時点で未確認。同サイトは顧客情報の収集・保存を行っていません

  • リダイレクト先スパムサイトの実害は調査中ですが、即時のマルウェア感染リスクは確認されていません

想定される原因

同サイトが設置されているレンタルサーバ内の他社サイトの脆弱性を起点に、サーバ上コンテンツが改ざんされた可能性が高いとしています(詳細は調査継続)

実務メモ(情シス視点)

  • 共有サーバ環境では、テナント横断リスクを前提に、WAF・改ざん検知・CSP/SRIの多層防御を実装。

  • 管理画面はIP制限・MFAを必須化、CMS/プラグインの最新化と最小化を徹底。

  • インシデント対応では初動封じ込め→完全性回復(クリーン再構築)→証跡保全の順で実施し、DNS・CDNキャッシュの整合も確認。