ピックルボールワン、Webサイトへの不正アクセスで個人情報漏洩のおそれ

セキュリティニュース

投稿日時: 更新日時:

ピックルボールワン、Webサイトへの不正アクセスで個人情報漏洩のおそれ

株式会社ピックルボールワンは2026年6月30日、同社が運営するWebサイト pickle-one.com が外部から不正アクセスを受け、サイトのデータベースに保存していた顧客の個人データが漏洩した可能性があると発表しました。

同社によると、2026年6月15日から6月17日にかけて、同サイトが利用していた外部ソフトウェア、プラグインの脆弱性を悪用した不正アクセスがあり、サーバー上に不正なプログラムが設置されました。

漏洩のおそれがある対象者は最大約1,853名です。現時点で、漏洩対象となる可能性のある個人データが実際に外部へ持ち出された痕跡や、二次被害は確認されていません。

サマリー

  • 株式会社ピックルボールワンのWebサイト pickle-one.com で不正アクセスが発生
  • 発生期間は2026年6月15日から6月17日
  • 外部ソフトウェア、プラグインの脆弱性を悪用され、サーバー上に不正プログラムが設置
  • 2026年6月17日に同社が事態を検知
  • 漏洩のおそれがある対象者は最大約1,853名
  • 対象情報は、氏名、フリガナ、住所の一部、電話番号、メールアドレス、生年月日、性別、暗号化されたパスワード、登録時IPアドレス、規約同意日時、会員プロフィール情報など
  • クレジットカード番号およびセキュリティコードは同サイトで保有しておらず、漏洩対象外
  • コート予約システム、店頭会員システム、ECサイトへの不正アクセスは確認されていない
  • 同社は不正アクセスの遮断、不正プログラム除去、パスワード・認証情報の再設定、脆弱性修正などを完了
  • 個人情報保護委員会にも報告済み

概要

今回の事案は、ピックルボールワンが運営するWebサイト pickle-one.com に対する不正アクセスです。

同社の発表によると、2026年6月15日から6月17日にかけて、サイトが利用していた外部ソフトウェア、プラグインの脆弱性を悪用され、サーバー上に不正なプログラムが設置されました。2026年6月17日に同社が事態を検知し、直ちに不正アクセスの遮断、不正プログラムの除去、その他の対応を完了したとしています。

フォレンジック調査の結果、現時点では、漏洩のおそれがある個人データが実際に外部へ持ち出された痕跡や、二次被害は確認されていません。ただし、持ち出しの可能性を完全には否定できないため、同社は公表に至ったと説明しています。

漏洩のおそれがある個人データ

ピックルボールワンが公表している、漏洩のおそれがある個人データは以下の通りです。

区分 漏洩のおそれがある情報
氏名情報 氏名、フリガナ
連絡先情報 住所、都道府県・市区町村まで、電話番号、メールアドレス
属性情報 生年月日、性別
アカウント関連情報 暗号化されたパスワード、登録時IPアドレス、規約同意日時
プロフィール情報 所属サークル、使用パドルなど

対象となる可能性がある人数は最大約1,853名です。

同社サイトでは、クレジットカード番号およびセキュリティコードを保有していないため、これらは漏洩対象ではないとしています。

暗号化されたパスワードが含まれる点に注意

漏洩のおそれがある情報には、暗号化されたパスワードが含まれます。

暗号化またはハッシュ化されたパスワードであっても、パスワードが単純な場合や、同じパスワードを他サービスで使い回している場合は注意が必要です。攻撃者が別サービスで同じメールアドレスとパスワードの組み合わせを試す、いわゆるリスト型攻撃に悪用する可能性があります。

ピックルボールワンも、同社サイトと同じパスワードを他サービスで利用している場合は、念のためパスワード変更を検討するよう呼びかけています。

現在の対応状況

ピックルボールワンは、本件を検知後、直ちに初動対応を実施しました。

具体的には、不正アクセスの遮断、不正プログラムの除去、パスワード・認証情報の再設定、脆弱性の修正を完了したとしています。

また、二次被害防止のための措置として、管理画面への二段階認証の導入、WAFの段階的な有効化、なりすましメール対策として送信ドメイン認証の導入、脆弱性の継続監視体制の整備などを進めています。

本件については、法令等に従い、個人情報保護法に基づき個人情報保護委員会にも報告済みです。

利用者が確認すべきポイント

対象となる可能性がある利用者には、同社から電子メール等で個別連絡が行われています。

連絡を受けた方は、まず同社サイトで利用していたパスワードと同じものを、他のサービスで使っていないか確認してください。使い回している場合は、他サービス側のパスワードも変更する必要があります。

また、同社を装った不審なメール、SMS、電話にも注意が必要です。今回漏洩のおそれがある情報には、氏名、メールアドレス、電話番号、登録時IPアドレス、プロフィール情報などが含まれます。これらを悪用して、本人に関係があるように見せかけたフィッシングメールやなりすまし連絡が行われる可能性があります。

心当たりのない連絡で、URLへのアクセス、パスワード入力、個人情報の再登録、決済情報の入力を求められた場合は、応じないよう注意してください。

Webサイト管理者が確認すべきポイント

今回の事案は、外部プラグインの脆弱性がWebサイト侵害につながったものです。

Webサイト管理者は、利用中のCMS、テーマ、プラグイン、外部ライブラリを棚卸しし、不要なものを削除してください。使っていないプラグインが有効なまま残っている場合、攻撃者にとって侵入口になる可能性があります。

次に、プラグインやCMS本体の更新状況を確認してください。脆弱性が公表されたプラグインは、攻撃コードが短期間で流通し、未更新サイトが一斉に狙われることがあります。更新できないプラグインを使い続けている場合は、代替手段への移行も検討する必要があります。

また、管理画面には二段階認証を導入し、IP制限や強固なパスワード、不要アカウントの削除を行うべきです。WAFや改ざん検知、ファイル変更監視、ログ監視も、不正プログラムの早期検知に有効です。

会員サイトで特に注意すべき点

会員サイトでは、氏名や連絡先だけでなく、プロフィール情報や利用履歴も重要な個人データです。

今回の事案では、所属サークルや使用パドルなどの会員プロフィール情報も漏洩のおそれがある項目として挙げられています。趣味・活動領域の情報であっても、本人の行動範囲や所属コミュニティを推測できる場合があります。

また、登録時IPアドレスや規約同意日時のような情報も、単体では被害につながりにくい一方、他の情報と組み合わされることで、なりすましや標的型の連絡に使われる可能性があります。

会員制サイトを運営する企業では、保存している情報の範囲を定期的に見直し、不要なプロフィール項目や古い会員データを保持し続けていないか確認する必要があります。

関連記事

日本発生生物学会、会員管理システムに不正アクセス 個人情報漏洩の可能性を公表

空手用品を販売するECサイト、不正アクセスにより約7千件のクレジットカードなどの個人情報が漏洩

メール配信システム める配くん、不正アクセスで情報漏洩の恐れ-プリマハム・東京書籍・NPO法人など10社超に影響

不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説〖2026年最新〗

出典

株式会社ピックルボールワン:当社ウェブサイトへの不正アクセスによる個人データ漏えいのおそれに関するお詫びとお知らせ