2025年4月7日、株式会社フレッシュハウスとアークホーム株式会社は、両社が業務を委託している株式会社ソーゴーのファイルサーバが不正アクセスの被害を受けたことを公表しました。被害の影響により、工事関連情報 合計1,984件(フレッシュハウス1,423件、アークホーム561件)が漏えいした可能性があるとしています。
サイバー攻撃の概要と影響範囲
両社の発表によれば、サイバー攻撃はソーゴー社が管理するファイルサーバを標的としており、委託業務に関連する工事情報が含まれていたことが確認されました。これを受けて、フレッシュハウスとアークホームは速やかに個人情報保護委員会へ報告を行っています。
また、ソーゴー社では不正アクセスを受けたネットワークについて、外部接続の遮断などの緊急対応を実施し、以降の外部からのアクセスは不可能な状態にし、現在はEDRによる常時対策と監視を実行しているとのこと
漏えい対象情報と安全性
報告によれば、漏えいした可能性のあるデータにはクレジットカード情報や要配慮個人情報(健康情報など)は含まれておらず、現時点では不正利用の事実も確認されていないとのことです。ただし、対象となった顧客情報の具体的な内容(氏名・住所・工事内容など)については明記されていません。
情報セキュリティへの教訓
今回のように委託先のセキュリティ不備が元で顧客情報が漏えいするケースは、サプライチェーン攻撃の典型事例です。委託契約における情報管理体制の確認、技術的・物理的なアクセス制御の実装、ならびにインシデント対応体制の整備が今後の課題となるでしょう。
また、ユーザー側としても、過去に取引した企業からの連絡があった場合は慎重に確認し、怪しい連絡が届いた場合には正規窓口への照会を徹底することが重要です。
関連記事
千葉 鴨川市 職員が不正アクセスし市民や職員の人事情報を閲覧
Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋
筑波大学の委託先「ライクキッズ」のランサムウェアによる個人情報漏えい、保護者ら最大2,294件に影響の可能性
Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」
旧ジャニーズ事務所の株式会社STARTO ENTERTAINMENTがチケットの転売出品に関する司法判断の発表
Brave groupの関連会社が運営する「ぶいすぽっ!JP オーディション」個人情報漏洩|セキュリティインシデントの事例
京都大学 11月祭事務局が学生ポータル PENGUINへの不正アクセスを発表
損害保険ジャパンが業務委託先の東京損保鑑定の不正アクセスとランサムウェアの調査結果を発表
ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定