2025年10月にランサムウェア被害を受けた株式会社エネサンスホールディングスのインシデントをめぐり、同グループ会社に業務を委託している企業から、自社顧客の個人情報が漏えいした可能性があるとの公表が相次いでいます。LPガス配送や検針などをエネサンスグループに委託していた柴田産業株式会社と北斗興業株式会社が、それぞれ委託先システム上の情報に漏えい懸念があると発表しました。
目次
エネサンスホールディングスのサイバー攻撃の概要
エネサンスホールディングスは、2025年10月21日にグループ会社を含むネットワークでシステム障害が発生し、その後の外部専門家による調査の結果、ランサムウェアによるサイバー攻撃であったことを確認したと公表しています。
同社は障害発生後、緊急対策本部を設置し、被害拡大防止のため外部との接続を遮断しました。そのうえで、被害を受けたネットワークから切り離したクリーンな環境でシステムを再構築し、業務を順次再開しています。
ランサムウェアグループ Qilin(キリン)は、自らのダークウェブ上のサイトにエネサンスホールディングスの社名やロゴを掲載し、攻撃を主張していました。11月6日頃では具体的なサンプルデータや侵害を裏付ける証拠は確認されていません。
10月30日時点では、同社側は情報漏えいが発生したと考えられる事案は確認しておらず、関係者への二次被害報告もないと説明していました。ただし、その後の詳細調査の過程で、グループ各社のシステムに保存されていた委託元企業の顧客情報について、漏えいのおそれがあるとして、柴田産業や北斗興業などから個別の公表が行われています。
柴田産業:佐賀市内LPガス顧客396名分に漏えいの可能性
柴田産業株式会社は2025年11月21日、同社がLPガス配送および緊急時対応を委託している株式会社エネサンス九州からの報告として、同社顧客情報が漏えいした可能性があると公表しました。
影響が懸念される情報の範囲
柴田産業によりますと、対象となるのは佐賀市内のLPガス利用者396名分の情報で、漏えいの可能性がある項目は以下の通りとされています。
-
氏名
-
住所
-
電話番号
口座情報やガス料金情報など、決済に関わる情報は含まれていないと説明しています。現時点で、これらの情報が実際に外部へ流出したことを示す事実や、不正利用による被害は確認されていません。
同社は、万が一漏えいが確認された顧客には個別に連絡するとしており、今回の事態を重く受け止め、委託先との連携強化や情報セキュリティ対策の見直しなど、情報管理体制の強化に努めるとしています。
北斗興業:エネサンス北海道への攻撃でLPガス顧客情報にリスク
北斗興業株式会社も、自社LPガス顧客の情報について漏えいのおそれが生じていると発表しました。同社はLPガスの配送および検針業務を株式会社エネサンス北海道に委託しており、この委託先が2025年10月下旬にサイバー攻撃を受けたことが判明しています。
漏えいの可能性がある情報
北斗興業によると、エネサンス北海道側のネットワークに保管されていた同社の顧客情報の一部について、漏えいのおそれがあります。対象とされている情報は以下のとおりです。
-
LPガスに関する顧客の氏名
-
LPガスに関する顧客の住所
委託先では、攻撃を受けたネットワークの外部接続を速やかに遮断し、原因調査や関係官庁への報告を行っているとされています。漏えいのおそれがある顧客には、個別に連絡を行っているほか、現時点で情報の不正利用や二次被害を示す報告はないと説明しています。
北斗興業は、お詫びとともに、本件を踏まえて情報管理体制や委託先管理の強化に取り組む姿勢を示しています。
供給網全体に広がるサイバーリスク
エネサンスホールディングスのインシデントは、まずグループ本体のシステム障害として認識されましたが、その後の調査・通知プロセスを通じて、LPガス事業を委託している複数企業の顧客情報にも影響がおよんだ可能性が浮かび上がっています。
今回名前が挙がった柴田産業や北斗興業のように、ガス配送・検針・緊急対応をグループ会社にアウトソースしているケースでは、委託先ネットワークのサイバー攻撃が、そのまま元請け企業の顧客情報リスクにつながります。
エネサンスグループ側は、被害ネットワークから隔離した環境でのシステム再構築や監視体制の強化を進めているとしていますが、委託元企業からの公表が相次いだことで、サプライチェーン全体でのリスク管理の重要性が改めて浮き彫りになった形です。
利用者への影響と企業側の対応
現時点で、柴田産業・北斗興業ともに、顧客情報の不正利用や具体的な二次被害は確認されていないと説明しています。ただし、氏名や住所、電話番号といった基本情報が第三者に渡る可能性がある以上、今後の動向を注視するとともに、関係企業は注意喚起やモニタリングを継続する必要があります。
各社は、対象となる可能性のある顧客に対して個別連絡を行う方針を示しており、万が一、不審な連絡や勧誘が増えるなどの兆候があった場合には、企業窓口への相談を呼びかけています。
一方で、エネサンスホールディングスの事案は、ランサムウェアグループの犯行声明と企業側の調査結果が必ずしも一致しない典型例でもあります。攻撃グループは自身の「戦果」を誇張することも多いため、リークサイト上の主張のみで実害を断定せず、企業側のフォレンジック調査結果や委託元からの通知内容を総合的に確認する姿勢が重要です。








