キャリアデザインセンター 運営 女の転職typeへ不正ログイン-個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

キャリアデザインセンター 運営 女の転職typeへ不正ログイン-個人情報漏洩の恐れ

2026年5月30日(土)、株式会社キャリアデザインセンターは転職サイト『女の転職type』のスマートフォンアプリへのリスト型攻撃(クレデンシャルスタッフィング)による不正ログインが発生したと公表しました。最大のリスクは、不正ログインに成功した38,442件のうちユニークユーザー18,253名分の会員情報ページが閲覧された可能性があることです。

攻撃は2026年5月26日から28日にかけて行われ、試行回数は1,141,828件に達しました。背景には他サービスから流出したと推測されるIDとパスワードのリストを転用する攻撃手法があり、同社内からのID・パスワード漏えいは確認されていません。

現時点で個人情報が具体的に悪用されたという事実は確認されていませんが、対象ユーザーへのパスワード再設定案内と個人情報保護委員会への報告はすでに実施済みです。本記事では事案の全容・リスト型攻撃の仕組み・同社の対応・情報システム担当者が取るべき対策を解説します。

サマリー

  • 2026年5月26〜28日、『女の転職type』スマートフォンアプリにリスト型アカウントハッキングが発生。2026年5月30日に公式発表
  • 不正ログイン試行回数は1,141,828件。そのうち38,442件(ユニークユーザー18,253名)への不正ログインが確認され、一部の会員情報ページが閲覧されたおそれがある
  • 攻撃は外部から取得した情報(他サービスから流出したと推測されるID・パスワードリスト)を使用したものと推測。同社内からのID・パスワード漏えいは確認されていない
  • パスワードは復号不可能なハッシュ形式で保存されており、不正ログインによるパスワード自体の漏えいリスクは限定的
  • 同社は発覚後速やかに外部からのアクセス遮断・全会員強制ログアウト・対象者パスワード初期化を実施。個人情報保護委員会への報告も完了
  • 女性向け転職サービスという性質上、氏名・年齢・職歴・希望条件等のキャリア情報を含む会員情報が閲覧された可能性がある

事案の概要と被害規模—111万件超の試行が示す組織的攻撃

キャリアデザインセンターの公式発表(2026年5月30日)によれば、今回の攻撃は2026年5月26日から28日にかけて行われました。攻撃者は外部から取得した情報を利用した「リスト型アカウントハッキング(リスト型攻撃)」によるものと推測されています。

被害規模を示す数値を整理します。不正ログイン試行回数は1,141,828件、そのうち不正ログインが成功したものは38,442件で、ユニークユーザー数は18,253名です。成功率は約3.4%となります。

この数値は「ランダムなパスワード推測」ではなく、実際に使用されているID・パスワードの組み合わせを含む高品質なリストが使用されたことを強く示唆します。

不正ログインが成功した38,442件については「ログイン後に一部の会員情報ページが閲覧されたおそれがある」とされています。『女の転職type』は女性向け転職サービスであり、会員情報には氏名・生年月日・住所・電話番号・メールアドレスに加えて、現職情報・職務経歴・年収・転職希望条件といったキャリア・職業上のセンシティブ情報が含まれている可能性があります。

なお、同社はユーザーのパスワードを復号できない形式(ハッシュ化)で保存しており、社内からID・パスワードが流出した事跡は確認されていないとしています。

リスト型攻撃の仕組みと今回の被害の実態

リスト型攻撃(クレデンシャルスタッフィング)は、過去に他のサービスで流出したID・パスワードの組み合わせを、別サービスのログインフォームに大量に自動入力する攻撃手法です。多くのユーザーが複数のサービスで同じパスワードを使い回しているという現実を利用します。

攻撃者は地下フォーラムなどで入手したクレデンシャルリストを用いて自動ツールでログインを試みます。

今回の試行回数1,141,828件という数字は、スクリプトによる高速自動攻撃が行われたことを示しています。成功率約3.4%というのは、高品質なリストが使われた際に観測される典型的な成功率の範囲内(通常1〜5%)であり、無差別な推測攻撃(通常0.01%以下)とは明らかに異なります。

スマートフォンアプリが攻撃対象になった背景として、モバイルAPIエンドポイントはWebブラウザからのアクセスよりもIPベースのレート制限やBotDetection機能が弱いケースがあることが挙げられます。

また、デバイスフィンガープリントやJavaScriptチャレンジを利用したBot検出がアプリAPIには適用されていない場合もあり、攻撃者が優先的にモバイルAPIを狙うことが知られています。

同社内からのID・パスワード漏えいが確認されていないという点は重要です。これは「女の転職typeのシステムそのものに侵害された痕跡がない」ことを意味し、被害の根本原因は利用者が他サービスで使い回しているパスワードにあることを示しています。


キャリアデザインセンターが講じた対応措置

公式発表によれば、同社は不正ログイン操作の可能性が発覚した後、速やかに以下の対応を実施しました。

外部からのアクセスを遮断し、攻撃の継続を防止しました。全会員の強制ログアウトを実施し、既存セッションを無効化しました。不正ログインが確認された会員(38,442件)に対してはアカウントのパスワードを初期化し、強制ログアウトを実施しました。2026年5月30日付けでパスワード再設定に関するご案内のメールを対象者に送付しました。個人情報保護委員会への報告を実施しました。

対象者への問い合わせ窓口は [email protected] です。

個人情報保護法の改正(2022年施行)では、不正アクセスによる個人情報の漏えいまたはそのおそれが発生した場合、個人情報保護委員会への速報(事態を知った日から3〜5日以内)が義務付けられており、今回の発表と報告はその法的要件に沿ったものです。


情報システム担当者が取るべき対応

今回の事案は自組織の情報システム担当者が確認すべき対策と直結するポイントを複数含んでいます。

利用者向けの対応として最優先すべきは、パスワードの使い回しをしているユーザーへの注意喚起です。同社の発表では「社内からのID・パスワード漏えいは確認されていない」とある以上、被害を受けたユーザーの共通点は他サービスでの同じパスワード使用にあります。自組織の会員・顧客・社員が転職サービス等の外部サービスに登録する際、業務システムと同一パスワードを使用していないかの認識を高めることが重要です。

自組織のサービスがリスト型攻撃の対象となっていないかを確認することも必要です。具体的には、ログイン試行の急激な増加・失敗率の異常な上昇・地理的に不自然なIPからのアクセス増加といったサインをSIEM・WAFのログで確認してください。

モバイルAPIのセキュリティ評価は、今回の事案の特徴であるスマートフォンアプリ経由の攻撃を踏まえた優先課題です。WebサイトにはBot Detection・レート制限・CAPTCHAを実装していても、モバイルAPIエンドポイントに同等の対策が施されていないケースは多く存在します。認証エンドポイントへのレート制限・多要素認証(MFA)の導入・デバイスバインディングの検討を進めることが推奨されます。


FAQ

Q. 『女の転職type』の会員ではない場合、何か対応は必要ですか? A. 同社の公式発表では、今回の対象はスマートフォンアプリの会員に限定されており、非会員への影響は言及されていません。女の転職typeのアカウントを持っていない方への直接的な影響はありません。ただし、別サービスで同じパスワードを使い回している場合、そのサービスのパスワードを変更することを推奨します。

Q. 影響を受けた18,253名はどうすれば確認できますか? A. 同社は不正ログインが確認された会員に対して、2026年5月30日付けでパスワード再設定に関する案内メールを送付しています。メールが届いていなければ対象外である可能性が高いですが、不安な場合は問い合わせ窓口([email protected])に確認することを推奨します。

Q. パスワードがハッシュ化されていると、どうして不正ログインが発生するのですか? A. 混同されやすい点ですが、今回の攻撃は「パスワードが盗まれた」ことが原因ではありません。攻撃者はすでに他のサービスから入手済みのID・パスワードの平文リストを持っており、それを女の転職typeのログインフォームに入力しました。パスワードがハッシュ化保存されていることは「同社内からパスワードが漏れない」ことは保証しますが、既知のパスワードを使った外部からのログイン試行を防ぐことはできません。

Q. リスト型攻撃を防ぐために個人として最も有効な対策は何ですか? A. 最も効果的な対策は、サービスごとに異なる複雑なパスワードを設定することです。パスワードマネージャーの利用が現実的な解決策です。加えて、ログインに多要素認証(MFA)が設定できるサービスでは必ず有効化してください。リスト型攻撃はMFAが設定されているアカウントに対しては、パスワードが合っていても不正ログインを完成させることができません。

Q. 個人情報保護委員会への報告はいつ行いましたか? A. 同社は5月30日の発表文で「個人情報保護委員会への報告を行っております」と記載しており、公表と同タイミングで報告が完了していることが読み取れます。改正個人情報保護法では不正アクセスによる漏えい等のおそれが発生した場合、事態を知った日から3〜5日以内の速報が義務付けられています。


参考情報