貸金業・キャッシングサービスを提供する株式会社キャネットは2026年7月14日、同社ホームページ内のお客様マイページへの不正アクセスによる個人情報漏えい事案について、外部専門業者によるフォレンジック調査が終了したとして、原因および今後の再発防止策を公表しました(続報4)。当サイトでも2026年4月の初報・5月の続報2を継続して報じてきましたが、今回は調査完了に伴う原因の特定と再発防止策の全容が明らかになりました。
サマリー
- 株式会社キャネット(本社:鹿児島県鹿児島市、代表取締役:宇野正剛・安河内智草)は2026年7月14日、2026年4月24日に公表した不正アクセスによる個人情報漏えい事案について、外部専門業者によるフォレンジック調査(ログ分析およびデジタル鑑識)が終了したと公表した
- 発覚の経緯は、会員ページへの不審なログイン履歴の指摘と、顧客からの不審なSMS受信の連絡だった
- 調査の結果判明した原因は、会員ページを管理するシステムにおける認証情報の管理またはプログラム上の脆弱性を突いた外部からの不正アクセスで、攻撃者が会員ページのログイン情報等を閲覧できる状態にあったこと
- 本事案における同社社員の関与はなかったことが確認されている
- 漏えいした可能性のある個人データの対象項目は、氏名・住所・連絡先・勤務先・債務の状況・金融機関口座情報・ログイン情報
- 再発防止策として、(1)脆弱性・認証ロジックの見直しと修正、(2)24時間365日の不正侵入検知・ログ監視体制の強化、(3)システム運用開発の委託先へのセキュリティ基準見直しと定期監査、(4)全役職員への情報セキュリティ教育徹底と初動対応プロセスの再徹底、という4点を挙げている
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月14日(続報4) |
| 初報公表日 | 2026年4月24日 |
| 対象企業 | 株式会社キャネット(鹿児島市、九州・沖縄・東北で店舗展開) |
| 発覚の経緯 | 会員ページへの不審なログイン履歴の指摘、顧客からの不審なSMS受信報告 |
| 判明した原因 | 会員ページ管理システムの認証情報管理またはプログラム上の脆弱性の悪用 |
| 社員の関与 | 確認されていない |
| 対象となる可能性のある情報 | 氏名・住所・連絡先・勤務先・債務の状況・金融機関口座情報・ログイン情報 |
| 再発防止策 | 脆弱性・認証ロジックの修正、24時間監視体制強化、委託先監督強化、社内教育徹底 |
何が起きたか-これまでの経緯
当サイトで既報の通り、キャネットは2026年4月24日、同社ホームページ内のお客様マイページへの第三者による不正アクセスが同月23日に確認されたとして、個人情報漏えいに関するお詫びと案内を公表していました。この時点で漏えいの可能性が否定できない対象者数は9,987名とされ、金融機関の口座情報・ログインパスワード・勤務先情報を含む広範な情報が対象に含まれるとともに、すでに複数件の二次被害(なりすましメール・不審な電話・郵便物等)が確認されているという、深刻な状況が明らかになっていました。その後5月8日の続報2では、対象者数が10,981名に更新されています。
今回2026年7月14日に公表された続報4は、外部専門業者によるフォレンジック調査(ログ分析およびデジタル鑑識)が終了したことを受けた、原因究明の最終報告にあたります。同社の説明によれば、発覚の経緯は、会員ページへの不審なログイン履歴の指摘と、顧客から不審なSMSを受信したとの連絡を受けたことでした。システム会社による調査の結果、外部からの不正アクセスがあったことが判明し、被害拡大防止の措置を講じたうえで初報・訂正通知を公表、対象顧客への個別のお詫びと二次被害防止の案内、専用窓口の開設を行ってきたとしています。
フォレンジック調査で判明した原因
外部専門業者による調査の結果、原因は会員ページを管理するシステムにおいて、認証情報の管理またはプログラム上の脆弱性を突いた外部からの不正アクセスであり、攻撃者が会員ページのログイン情報等を閲覧できる状態にあったことが確認されました。あわせて、本事案における同社社員の関与はなかったことも確認されています。
漏えいした可能性のある個人データの対象は、会員ページに登録されている顧客(対象者には個別に連絡済み)で、対象項目は氏名、住所、連絡先、勤務先、債務の状況、金融機関口座情報、ログイン情報です。貸金業という業種の特性上、氏名・住所・連絡先といった基本的な個人情報に加えて、債務の状況や金融機関口座情報という極めて機微な金融情報が対象に含まれている点は、当サイトが同種の事案として報じた消費者金融ファーストの不正アクセス事案とも共通しています。借入利用者であるという属性情報そのものが、標的型詐欺の材料として悪用されるリスクを高める点には引き続き注意が必要です。
再発防止策
同社は今回の事態を重く受け止め、システム会社および外部専門業者の提言のもと、4点の再発防止策を徹底するとしています。1点目は、不正アクセスの足がかりとなった脆弱性および認証ロジックの見直しと順次修正です。2点目は、24時間365日の不正侵入検知システムおよびログ監視体制の強化で、異常なアクセスを即座に遮断する仕組みを構築するとしています。3点目は、システムの運用開発を委託している事業者に対するセキュリティ基準の見直しと定期的な監査の実施です。4点目は、全役職員に対する情報セキュリティ意識の向上と、事案発生時の初動対応プロセスの再徹底です。
情報システム部門への示唆
今回の事案が示す教訓の一つは、原因が「認証情報の管理またはプログラム上の脆弱性」という、比較的一般的な原因区分にとどまっている点です。フォレンジック調査を経てもなお、原因がこの程度の粒度でしか特定・開示されないケースは珍しくなく、被害企業側からの発表を待つ利用者・関係者にとっては、具体的にどのような脆弱性だったのか(既知のCVEの放置か、独自実装の設計不備か等)を把握しにくいという課題があります。自組織が同様の事案に遭遇した場合、可能な範囲で技術的な原因の詳細を開示することが、同業他社への注意喚起や、業界全体でのセキュリティ向上につながります。
また、今回の再発防止策で挙げられている「委託先への管理監督強化」は、自社開発ではなく外部のシステム会社に運用・開発を委託している事業者にとって特に重要な視点です。会員ページのような顧客接点システムを外部委託している場合、委託先のセキュリティ基準がどの程度自社の求める水準を満たしているか、定期監査の実施頻度・内容がどうなっているかを、今回の事案を機にあらためて点検することをお勧めします。貸金業・消費者金融のように、顧客の債務状況や金融口座情報という機微な情報を保有する事業者にとっては、こうした委託先管理の甘さが、顧客に対する深刻な二次被害につながりかねないことを、今回の事案は改めて示しています。








