消費者金融のファースト、4月の不正アクセスで会員の個人情報漏洩

セキュリティニュース

投稿日時: 更新日時:

消費者金融のファースト、4月の不正アクセスで会員の個人情報漏洩

貸金業を営む株式会社ファースト(東京都港区)は2026年7月9日、同社WEBサイトの会員ページへの不正アクセスによる個人情報漏えいの可能性について、外部専門業者によるフォレンジック調査が終了したとして、原因および今後の再発防止策を公表しました。当社は2026年4月28日に本事案を初めて公表しており、今回はその調査結果を踏まえた続報にあたります。当サイトでも以前、消費者金融キャネットの不正アクセスによる個人情報漏洩を取り上げましたが、今回のファーストの事案も、貸金業という業種特有の機微な情報が漏えいの対象に含まれている点で共通しています。

サマリー

  • 株式会社ファーストは2026年7月9日、2026年4月28日に公表していたWEBサイトへの不正アクセスによる個人情報漏えいの可能性について、外部専門業者によるフォレンジック調査の結果を公表した
  • 発覚のきっかけは、会員ページへの不審なログイン履歴の指摘と、顧客からの不審なSMS受信の連絡で、システム会社による調査の結果、外部からの不正アクセスが判明した
  • 調査の結果、原因は会員ページを管理するシステムにおける認証情報の管理またはプログラム上の脆弱性を突いた外部からの不正アクセスで、攻撃者が会員ページのログイン情報等を閲覧できる状態にあったとされている
  • 同社社員による関与はなかったことが確認されている
  • 漏えいした可能性のある個人データは会員ページに登録されている顧客の氏名、住所、連絡先、勤務先、債務の状況、金融機関口座情報、ログイン情報で、対象となる顧客には個別に連絡済み
  • 対象人数は本稿執筆時点で公表されている情報からは明らかになっていない
  • 再発防止策として、脆弱性・認証ロジックの改修、24時間365日の不正侵入検知とログ監視体制の強化、委託先事業者への管理監督強化、全役職員への情報セキュリティ教育の徹底を掲げている
項目 内容
公表日 2026年7月9日(2026年4月28日の初報に対する続報)
公表元 株式会社ファースト(貸金業、東京都港区)
発覚のきっかけ 会員ページへの不審なログイン履歴の指摘、顧客からの不審なSMS受信の連絡
原因 会員ページ管理システムの認証情報管理またはプログラムの脆弱性を突いた不正アクセス
社員の関与 なし(確認済み)
漏えいした可能性のある情報 氏名、住所、連絡先、勤務先、債務の状況、金融機関口座情報、ログイン情報
対象者 会員ページに登録されている顧客(個別連絡済み)
対象人数 本稿執筆時点で非公表
問い合わせ窓口 個人情報漏えいに関する専用お問い合わせ窓口 0120-430-071(平日9:00〜18:00)

何が起きたか

株式会社ファーストの公表によると、事案発覚の端緒は、会員ページへの不審なログイン履歴についての指摘と、顧客から不審なSMSを受信したという連絡でした。これを受けてシステム会社が調査を実施した結果、外部からの不正アクセスがあったことが判明しています。同社は不正アクセスを確認した後、速やかに被害拡大防止の措置を講じるとともに、WEBサイト上で初報および訂正通知を公表しました。公表後は、対象となる顧客へのお詫びと二次被害防止の案内、専用窓口の開設についてもメールで順次通知しています。

その後、外部専門業者によるフォレンジック調査(ログ分析およびデジタル鑑識)が行われ、2026年7月9日、その調査結果が今回公表されました。調査の結果判明した原因は、会員ページを管理するシステムにおいて、認証情報の管理またはプログラム上の脆弱性を突いた外部からの不正アクセスが行われ、攻撃者が会員ページのログイン情報等を閲覧できる状態にあったというものです。同社は、この事案において自社社員による関与がなかったことも確認しています。

漏えいした情報の内容-貸金業ならではの深刻さ

漏えいした可能性のある個人データは、会員ページに登録されている顧客の氏名、住所、連絡先、勤務先、債務の状況、金融機関口座情報、ログイン情報です。対象となる顧客には個別に連絡が行われているとされていますが、対象人数については本稿執筆時点で公表されている情報からは明らかになっていません。

この事案が一般的な個人情報漏洩と比べて深刻なのは、貸金業という業種の特性上、氏名・住所・連絡先といった基本的な個人情報に加えて、債務の状況や金融機関口座情報といった、極めて機微な金融情報が漏えいの対象に含まれている点です。当サイトで以前取り上げたキャネットの事案でも指摘した通り、借入利用者であるという属性情報そのものが、標的型詐欺の材料として悪用されるリスクを高めます。氏名・住所・連絡先に加えて勤務先情報や金融機関口座情報が組み合わさることで、金融機関へのなりすましによる口座関連手続きの試みや、フィッシングを経由したオンラインバンキングへの不正ログイン試行、あるいは借入状況を材料にした特殊詐欺など、複合的な悪用のリスクが高まる点には注意が必要です。

再発防止策

株式会社ファーストは、すでに実施済みの二次被害防止策として、システム会社による被害拡大防止措置と、専用電話相談窓口の開設を挙げています。そのうえで、今後の再発防止策として、不正アクセスの足がかりとなった脆弱性および認証ロジックの見直しと順次修正、24時間365日の不正侵入検知システムおよびログ監視体制の強化による異常アクセスの即時遮断、システムの運用開発を委託している事業者に対するセキュリティ基準の見直しと定期監査の実施、そして全役職員への情報セキュリティ意識向上と初動対応プロセスの再徹底を掲げています。

情報システム部門・消費者への示唆

貸金業や消費者金融のように、顧客の債務状況や金融口座情報を保有する事業者にとって、今回の事案は自社が保有する情報の機微性を再確認する機会になります。当サイトで以前取り上げたキャネットの事案では、公表時点ですでに複数の二次被害が確認されていました。ファーストの利用者においても、氏名を語った不審な電話やSMS、低金利での借り換えを持ちかけるような不審な連絡があった場合には、記載されたURLへアクセスしたり個人情報を提供したりせず、まずは同社が設置した専用窓口(0120-430-071)や、日本貸金業協会の貸金業相談・紛争解決センター(0570-051-051)へ確認することをお勧めします。

企業の情報システム部門としては、会員ページのようなログイン機能を持つシステムについて、認証ロジックの脆弱性が外部からの不正アクセスの起点になりうるという今回の事案を踏まえ、自社が運用する会員向けシステムの認証方式やセッション管理に脆弱性がないかを定期的に点検することをお勧めします。また、不審なログイン履歴の指摘や顧客からの異常な連絡が、実際のインシデントの発覚につながった今回のケースは、社内の監視体制だけに頼らず、顧客からの違和感の申告を早期に拾い上げ、迅速に調査へつなげる体制の重要性も示しています。委託先事業者に対するセキュリティ基準の見直しと定期監査という同社の再発防止策も、外部委託先を利用する企業にとって参考になる取り組みです。

出典