株式会社ピックルボールワンは2026年6月30日、同社が運営するWebサイト pickle-one.com が外部から不正アクセスを受け、サイトのデータベースに保存していた顧客の個人データが漏洩した可能性があると発表しました。
同社によると、2026年6月15日から6月17日にかけて、同サイトが利用していた外部ソフトウェア、プラグインの脆弱性を悪用した不正アクセスがあり、サーバー上に不正なプログラムが設置されました。
漏洩のおそれがある対象者は最大約1,853名です。現時点で、漏洩対象となる可能性のある個人データが実際に外部へ持ち出された痕跡や、二次被害は確認されていません。
サマリー
- 株式会社ピックルボールワンのWebサイト pickle-one.com で不正アクセスが発生
- 発生期間は2026年6月15日から6月17日
- 外部ソフトウェア、プラグインの脆弱性を悪用され、サーバー上に不正プログラムが設置
- 2026年6月17日に同社が事態を検知
- 漏洩のおそれがある対象者は最大約1,853名
- 対象情報は、氏名、フリガナ、住所の一部、電話番号、メールアドレス、生年月日、性別、暗号化されたパスワード、登録時IPアドレス、規約同意日時、会員プロフィール情報など
- クレジットカード番号およびセキュリティコードは同サイトで保有しておらず、漏洩対象外
- コート予約システム、店頭会員システム、ECサイトへの不正アクセスは確認されていない
- 同社は不正アクセスの遮断、不正プログラム除去、パスワード・認証情報の再設定、脆弱性修正などを完了
- 個人情報保護委員会にも報告済み
目次
概要
今回の事案は、ピックルボールワンが運営するWebサイト pickle-one.com に対する不正アクセスです。
同社の発表によると、2026年6月15日から6月17日にかけて、サイトが利用していた外部ソフトウェア、プラグインの脆弱性を悪用され、サーバー上に不正なプログラムが設置されました。2026年6月17日に同社が事態を検知し、直ちに不正アクセスの遮断、不正プログラムの除去、その他の対応を完了したとしています。
フォレンジック調査の結果、現時点では、漏洩のおそれがある個人データが実際に外部へ持ち出された痕跡や、二次被害は確認されていません。ただし、持ち出しの可能性を完全には否定できないため、同社は公表に至ったと説明しています。
漏洩のおそれがある個人データ
ピックルボールワンが公表している、漏洩のおそれがある個人データは以下の通りです。
| 区分 | 漏洩のおそれがある情報 |
|---|---|
| 氏名情報 | 氏名、フリガナ |
| 連絡先情報 | 住所、都道府県・市区町村まで、電話番号、メールアドレス |
| 属性情報 | 生年月日、性別 |
| アカウント関連情報 | 暗号化されたパスワード、登録時IPアドレス、規約同意日時 |
| プロフィール情報 | 所属サークル、使用パドルなど |
対象となる可能性がある人数は最大約1,853名です。
同社サイトでは、クレジットカード番号およびセキュリティコードを保有していないため、これらは漏洩対象ではないとしています。
暗号化されたパスワードが含まれる点に注意
漏洩のおそれがある情報には、暗号化されたパスワードが含まれます。
暗号化またはハッシュ化されたパスワードであっても、パスワードが単純な場合や、同じパスワードを他サービスで使い回している場合は注意が必要です。攻撃者が別サービスで同じメールアドレスとパスワードの組み合わせを試す、いわゆるリスト型攻撃に悪用する可能性があります。
ピックルボールワンも、同社サイトと同じパスワードを他サービスで利用している場合は、念のためパスワード変更を検討するよう呼びかけています。
現在の対応状況
ピックルボールワンは、本件を検知後、直ちに初動対応を実施しました。
具体的には、不正アクセスの遮断、不正プログラムの除去、パスワード・認証情報の再設定、脆弱性の修正を完了したとしています。
また、二次被害防止のための措置として、管理画面への二段階認証の導入、WAFの段階的な有効化、なりすましメール対策として送信ドメイン認証の導入、脆弱性の継続監視体制の整備などを進めています。
本件については、法令等に従い、個人情報保護法に基づき個人情報保護委員会にも報告済みです。
利用者が確認すべきポイント
対象となる可能性がある利用者には、同社から電子メール等で個別連絡が行われています。
連絡を受けた方は、まず同社サイトで利用していたパスワードと同じものを、他のサービスで使っていないか確認してください。使い回している場合は、他サービス側のパスワードも変更する必要があります。
また、同社を装った不審なメール、SMS、電話にも注意が必要です。今回漏洩のおそれがある情報には、氏名、メールアドレス、電話番号、登録時IPアドレス、プロフィール情報などが含まれます。これらを悪用して、本人に関係があるように見せかけたフィッシングメールやなりすまし連絡が行われる可能性があります。
心当たりのない連絡で、URLへのアクセス、パスワード入力、個人情報の再登録、決済情報の入力を求められた場合は、応じないよう注意してください。
Webサイト管理者が確認すべきポイント
今回の事案は、外部プラグインの脆弱性がWebサイト侵害につながったものです。
Webサイト管理者は、利用中のCMS、テーマ、プラグイン、外部ライブラリを棚卸しし、不要なものを削除してください。使っていないプラグインが有効なまま残っている場合、攻撃者にとって侵入口になる可能性があります。
次に、プラグインやCMS本体の更新状況を確認してください。脆弱性が公表されたプラグインは、攻撃コードが短期間で流通し、未更新サイトが一斉に狙われることがあります。更新できないプラグインを使い続けている場合は、代替手段への移行も検討する必要があります。
また、管理画面には二段階認証を導入し、IP制限や強固なパスワード、不要アカウントの削除を行うべきです。WAFや改ざん検知、ファイル変更監視、ログ監視も、不正プログラムの早期検知に有効です。
会員サイトで特に注意すべき点
会員サイトでは、氏名や連絡先だけでなく、プロフィール情報や利用履歴も重要な個人データです。
今回の事案では、所属サークルや使用パドルなどの会員プロフィール情報も漏洩のおそれがある項目として挙げられています。趣味・活動領域の情報であっても、本人の行動範囲や所属コミュニティを推測できる場合があります。
また、登録時IPアドレスや規約同意日時のような情報も、単体では被害につながりにくい一方、他の情報と組み合わされることで、なりすましや標的型の連絡に使われる可能性があります。
会員制サイトを運営する企業では、保存している情報の範囲を定期的に見直し、不要なプロフィール項目や古い会員データを保持し続けていないか確認する必要があります。
関連記事
日本発生生物学会、会員管理システムに不正アクセス 個人情報漏洩の可能性を公表
空手用品を販売するECサイト、不正アクセスにより約7千件のクレジットカードなどの個人情報が漏洩
メール配信システム める配くん、不正アクセスで情報漏洩の恐れ-プリマハム・東京書籍・NPO法人など10社超に影響
不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説〖2026年最新〗








