京都新聞トマト倶楽部が2024年に実施した京都新聞創刊145年感謝プレゼントにおいて、賞品発送のために委託先へ共有していた当選者情報の一部が、委託先事業者のサーバ侵害を起点として漏えいしたと公表されました。漏えい元となったのは、委託先の一つである株式会社47CLUBが管理するサーバで、同社は2025年11月28日にランサムウェア被害を受けたとしています。
漏えいした情報と対象
京都新聞側の説明では、漏えい対象はプレゼント企画3回分における47CLUB取扱商品の当選者情報で、合計190件です。委託先へ共有していた情報は郵便番号、住所、氏名、電話番号に限定されていたとされています。
関連:47CLUBがサイバー攻撃による個人情報漏洩の恐れとお詫びを通知
原因と時系列
本件は、自社システムの侵害ではなく、委託先のインシデントが顧客情報漏えいに直結する典型例です。流れを整理すると次の通りです。
-
2024年2月・8月・11月:プレゼント企画を実施し、賞品発送のために複数の委託先へ当選者情報を共有
-
2025年11月28日:47CLUBが管理する一部サーバがサイバー攻撃を受け、サーバ内ファイルが暗号化されるランサムウェア被害が発生(同社は12月10日に公表)
-
2025年12月下旬:ランサムウェアグループSaFePayが47club.jpを被害企業として掲示したとの観測が出回る一方、当時点で情報窃取の確定は困難である旨も指摘されました
-
2025年12月23日:47CLUBはお取り寄せサイト47CLUBの販売サービスを2026年1月31日で終了すると発表(理由は諸般の事情)
-
2026年1月末:外部専門機関の調査が進み、京都新聞側が共有していた当選者情報190件が搾取対象に含まれていたことを把握(京都新聞が2026年3月2日に公表)
47CLUBの12月10日時点の告知では、情報流出の懸念はあるものの、具体的な情報流出の事実は確認されていないとして調査継続を表明していました。
今回、委託元(京都新聞)が自社案件の当選者情報190件について搾取対象に含まれていたと公表したことで、少なくとも一部データについては影響が具体化している事がわかります。
関連:47CLUB、ランサムウェアの被害を公表後にサービス終了を発表-ランサムウェアグループSaFePayが犯行声明
想定される二次被害と注意点
漏えいしたのが郵便番号・住所・氏名・電話番号である場合、直ちに口座や決済情報が抜かれる類型ではない一方で、次のリスクが現実的です。
-
住所・氏名を前提にした不審電話、なりすまし連絡、個人宛の詐欺勧誘
-
電話番号を起点にしたフィッシングSMSや追加情報の聞き出し
-
他漏えい情報と突合され、より精度の高い標的型詐欺に発展
公表文でも、不審電話などへの警戒が呼びかけられています。
関連記事
ランサムウェア グループ、World Leaksがベトナムのオフショア開発企業 LTS Groupへのサイバー攻撃を主張
サイバー攻撃(DDoS攻撃)で業務妨害した中国籍の夫婦を逮捕
アルティウスリンク、足立区統合電話センターの情報持ち出し事案を続報
Instagram(インスタグラム)の非公開 写真が漏洩か-研究者が脆弱性を指摘
エプスタインが個人 ハッカーを雇用し情報収集-エプスタイン文書には伊藤 穰一氏(Joi Ito)やビル・ゲイツ氏の記載も
孔子学院や日中友好協会などを用いた日本における中国の影響力拡大
沖縄振興開発金融公庫がメール誤送信で情報漏えい
トレンドマイクロ Apex Oneで複数の脆弱性-サイバー攻撃への悪用を確認(CVE-2025-54948,CVE-2025-54987)
Node.js向けのアーカイブ展開ライブラリ「tar-fs」で深刻な脆弱性 CVE-2025-48387
