1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. エン株式会社「ミドルの転職」にリスト型攻撃-2,503件の不正ログイン、キャリアデザインセンター「女の転職type」と被害開始日が完全一致、転職サービスへのサイバー攻撃が集中

エン株式会社「ミドルの転職」にリスト型攻撃-2,503件の不正ログイン、キャリアデザインセンター「女の転職type」と被害開始日が完全一致、転職サービスへのサイバー攻撃が集中

セキュリティニュース

投稿日時: 更新日時:

エン株式会社「ミドルの転職」にリスト型攻撃-2,503件の不正ログイン、キャリアデザインセンター「女の転職type」と被害開始日が完全一致、転職サービスへのサイバー攻撃が集中

2026年6月5日、エン株式会社(代表取締役社長:越智通勝)は、同社が運営する転職情報サービス「ミドルの転職」において、2026年5月26日から6月2日にかけてリスト型攻撃による不正ログインが発生し、2,503件の不正アクセスが確認されたと発表しました。

最大のリスクは被害の経緯が示す業界的な文脈にあります。今回の被害開始日(5月26日)は、当サイトが既報したキャリアデザインセンター「女の転職type」の被害期間(5月26日〜28日・試行114万1,828件)と完全に一致しています。同日同業種の転職サービスに対して同一手口の攻撃が発生したことは、共通の攻撃者グループによる組織的な転職サービスへの集中攻撃キャンペーンの可能性を示唆しています。

転職サービスには求職者の氏名・住所・職歴・学歴・自己PRなど、フィッシングや標的型攻撃に転用可能な豊富な個人情報が含まれており、攻撃者にとって高価値ターゲットです。現時点で履歴書等の情報改ざんは確認されておらず、同社のパスワードは社内流出がないハッシュ化管理ですが、全ユーザーのパスワードリセットがすでに実施されています。本記事では事案の詳細・キャリアデザインセンター事案との比較・転職サービス利用者が取るべき対応を解説します。

サマリー

  • 2026年6月5日、エン株式会社が「ミドルの転職」への不正アクセスを公表。2026年5月26日〜6月2日の期間、リスト型攻撃による不正ログインが発生。ログイン総数2,503件
  • 被害開始日(5月26日)がキャリアデザインセンター「女の転職type」(5月26〜28日・試行114万件超・1万8,253人被害)と完全一致。同業種への集中攻撃キャンペーンの可能性
  • 不正ログインに該当するユーザーの会員情報ページに第三者がアクセスした可能性あり。履歴書等の改ざん・企業側管理画面への不正ログインは確認されていない
  • エン株式会社のパスワードはハッシュ化管理。社内からのID・パスワード流出の事実は確認されておらず、攻撃者は外部で入手したリストを使用したとみられる
  • 対応済み:不正ログイン対象ユーザーはパスワードリセット。被害対象外も含む全ユーザーのパスワードをシステムにてリセット実施。次回ログイン時に再設定が必要
  • 「ミドルの転職」以外の同社サービス(エン転職・AMBI等)での同様の不正ログインは確認されていない
  • 所轄警察署への通報・相談、個人情報保護委員会への報告を実施済み

事案の詳細—5月26日から約1週間にわたった不正ログイン

エン株式会社の公式発表(2026年6月5日)によれば、事案の経緯は以下のとおりです。

2026年6月2日、「ミドルの転職」のWebサーバーにおいて不正なログインが検知されました。社内調査の結果、2026年5月26日から6月2日の期間にわたり、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使ったリスト型攻撃が発生し、一部のユーザーの会員情報ページにアクセスされた可能性があることが判明しました。

発覚当日の6月2日、同社は不正ログインを試行していた送信元IPアドレス群からの通信を速やかにブロックするとともに、セキュリティ対策の強化を実施しました。

不正ログインの詳細は、対象が「ミドルの転職」の会員情報ページで、ログイン総数は2,503件です。同社のパスワードはハッシュ化(復元不可能な文字列への変換)を実施した上で管理しており、現時点で同社内からIDやパスワードが流出した事実は確認されていません。また不正ログインによる履歴書等の情報改ざん・求人企業側管理画面への不正ログインも確認されていません。

「女の転職type」との被害開始日の一致——同一キャンペーンの可能性

今回の事案を業界的な文脈で見ると、重要な事実が浮かび上がります。

当サイトが2026年6月2日に既報したキャリアデザインセンター「女の転職type」への不正アクセス事案では、5月26日から28日にかけて不正なログイン操作が確認され、試行総数は114万1,828件、ユニークユーザー1万8,253人が被害に遭いました。

2件の比較は以下のとおりです。

項目 ミドルの転職(エン株式会社) 女の転職type(キャリアデザインセンター)
被害開始日 2026年5月26日 2026年5月26日
被害終了日 2026年6月2日 2026年5月28日
不正試行数 2,503件(成功) 114万1,828件(試行)・38,442件(成功)
影響ユーザー 調査中 最大1万8,253人
手口 リスト型攻撃 リスト型攻撃
対象媒体 Webサービス スマートフォンアプリ
発表日 2026年6月5日 2026年5月30日

両事案の被害開始日が5月26日と完全に一致していることは、偶然の一致の可能性もありますが、同一の攻撃者グループが転職サービス業界に対して組織的な攻撃キャンペーンを展開した可能性を示唆しています。リスト型攻撃では、一つのサービスで取得した認証情報リストを他の関連サービスに転用することが一般的であり、転職サービスのユーザーは複数のサービスに同一のメールアドレス・パスワードを登録していることが多いという特性が狙われます。

なぜ転職サービスが狙われるのか——高価値個人情報の宝庫

転職サービスが攻撃者に対して高価値なターゲットである理由は、その保有データの質にあります。

転職サービスに登録されている情報には、氏名・住所・電話番号・メールアドレスという基本的な個人情報に加え、現在の職業・会社名・役職・年収・学歴・職務経歴という他のサービスにはほとんど存在しないビジネス上の詳細情報が含まれます。さらに自己PR・職歴の詳細・資格情報という個人の能力・背景に関する豊富なデータも含まれています。

これらの情報は、標的型フィッシングメール(「あなたの職歴に興味を持った企業から連絡が来ています」という偽装)・ソーシャルエンジニアリング攻撃・企業への侵入の足がかりとなるビジネスメール詐欺(BEC)・求人詐欺・架空の採用活動を通じたID・パスワード収集など、多様な悪用に転用できます。

エン株式会社自身も今回が初めてではなく、2023年3月には「エン転職」に対して同様のリスト型攻撃が発生し、25万人超のWeb履歴書が不正アクセスの対象になった事例があります(ITmedia・日経クロステック報道)。業界全体での多要素認証(MFA)導入の遅れが、繰り返しの攻撃を許している構造的な問題があります。

転職サービス利用者が取るべき対応

最優先:「ミドルの転職」のパスワード再設定

エン株式会社は全ユーザーのパスワードをシステムにてリセット済みです。次回「ミドルの転職」にログインする際に新しいパスワードの設定を求められます。新しいパスワードは他のサービスと重複しない、12文字以上の複雑なものを設定してください。

パスワードの使いまわしが最大のリスク

今回の「ミドルの転職」と先週の「女の転職type」の両方に登録している場合、または他の転職・採用サービス(エン転職・リクナビNEXT・DODA・マイナビ転職等)に同一のメールアドレス・パスワードを使いまわしている場合は、それらすべてのパスワードを変更することを強く推奨します。リスト型攻撃は「1か所で成功したパスワードを他のサービスに流用する」という攻撃であり、同一パスワードの使いまわしは被害を指数関数的に拡大させます。

MFA(多要素認証)の確認

転職サービスを含め、利用中のサービスでMFAが提供されている場合は必ず設定してください。リスト型攻撃はMFAが設定されているアカウントに対してはパスワードが合っていても不正ログインを完成させることが困難になります。

不審な連絡への警戒

不正ログインにより会員情報を閲覧された可能性があります。今後、「ミドルの転職」や「女の転職type」等の転職サービスを装ったフィッシングメール・電話・SMSが届く可能性があります。メールや電話で「パスワード変更を求める」「登録情報の確認を求める」といった連絡が来た場合は、必ず公式サイトのURLを直接入力して確認してください。

FAQ

Q. 不正ログインされたユーザーの会員情報ページには何が表示されていましたか? A. 「ミドルの転職」の会員情報ページには氏名・住所・電話番号・メールアドレス・登録した職歴・希望条件等が表示されます。どのユーザーの情報が閲覧されたかについて、現時点でエン株式会社は詳細を公表していません。

Q. 履歴書のデータが改ざん・悪用された可能性はありますか? A. エン株式会社は「不正ログインによる履歴書をはじめとする情報の改ざんは確認されていない」と公式に発表しています。また企業側(求人企業)の管理画面への不正ログインも確認されていません。ただし「閲覧されなかった」と断言することは現時点では難しく、閲覧された情報がフィッシングや詐欺に転用されるリスクへの警戒は継続が必要です。

Q. 「ミドルの転職」と「女の転職type」の被害開始日が同じというのは何を意味しますか? A. 断定はできませんが、同一の攻撃者グループが同日に複数の転職サービスを標的にしたリスト型攻撃キャンペーンを展開した可能性を示唆します。リスト型攻撃に使われる認証情報リストは、過去の大規模な情報漏えい事案で流出したID・パスワードを集積したものです。転職サービスのユーザーが複数のサービスに同一パスワードを使いまわしている場合、一つのサービスでの不正ログイン成功が他のサービスへの攻撃リストとして転用されます。

Q. エン株式会社の他のサービス(エン転職・AMBI等)も影響を受けていますか? A. エン株式会社は「『ミドルの転職』以外の当社サービスにおいて、同様の不正ログインは確認されていない」と発表しています。ただし「確認されていない」は「発生していない」の保証ではなく、引き続き他サービスのログイン状況や不審なアクティビティに注意することを推奨します。

参考情報

関連記事

キャリアデザインセンター 運営 女の転職typeへ不正ログイン-個人情報漏洩の恐れキャリアデザインセンター 運営 女の転職typeへ不正ログイン-個人情報漏洩の恐れ 美容室向けヘアケア製品メーカー・コタ株式会社(東証プライム4923)がランサムウェア被害の第4報—データ暗号化確認も生産・出荷は継続美容室向けヘアケア製品メーカー・コタ株式会社(東証プライム4923)がランサムウェア被害の第4報—データ暗号化確認も生産・出荷は継続 Anthropicが約150組織・15カ国以上にClaude Mythos Previewを拡張、電力・水道・医療・通信が新対象に、一般向け「Claude Security」も同時発表Anthropicが約150組織・15カ国以上にClaude Mythos Previewを拡張、電力・水道・医療・通信が新対象に、一般向け「Claude Security」も同時発表 中央紙器工業(MCパック)、ランサムウェアの被害で情報漏洩の恐れ中央紙器工業(MCパック)、ランサムウェアの被害で情報漏洩の恐れ CAMPFIREの不正アクセス、従業員がGitHubの認証情報を個人開発サーバーへアップし不正利用されるCAMPFIREの不正アクセス、従業員がGitHubの認証情報を個人開発サーバーへアップし不正利用される Meta AIアシスタントに「メールアドレスを変えて」と頼むだけで他人のInstagramを乗っ取れたMeta AIアシスタントに「メールアドレスを変えて」と頼むだけで他人のInstagramを乗っ取れた Microsoftが自律型エージェント Scout(Autopilot)を発表ー3つのセキュリティ懸念Microsoftが自律型エージェント Scout(Autopilot)を発表ー3つのセキュリティ懸念 GitHubがGHES 3.20.3をリリース-事前認証SSRFが可能な脆弱性を修正-CVE-2026-9312GitHubがGHES 3.20.3をリリース-事前認証SSRFが可能な脆弱性を修正-CVE-2026-9312 TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩