2025年5月20日、核酸製品やサプリメントを販売するフォーデイズ株式会社(本社:東京都中央区、代表取締役:和田佳子)は、自社の会員サイトが外部からの不正アクセスを受け、約134万件の会員情報が外部に漏洩した可能性があることを公表しました。現時点では実際の漏洩や二次被害の報告は確認されていませんが、同社は影響を受けた可能性のある会員への通知を開始するとともに、今後の対応強化を約束しています。
目次
不審な大量アクセスの概要
事態が発覚したのは、2025年4月18日から5月3日の間に、特定のIPアドレスから会員情報照会機能へ約560万回もの不審なアクセスが行われたことが契機でした。これを受けてフォーデイズは、5月16日に緊急のセキュリティ対策を実施し、個人情報保護委員会および所轄警察への報告も完了しています。
漏洩の可能性がある情報
今回の不正アクセスにより漏洩の可能性があるとされる情報には、1,347,445 件の以下の項目が含まれています。
-
会員ID
-
登録日
-
会員氏名、性別、生年月日
-
住所、電話番号、FAX番号、メールアドレス
-
口座名義、金融機関名、支店名
-
クレジットカード登録有無
-
インボイス登録番号
なお、口座番号やログインパスワード、クレジットカード情報そのものは漏洩していないとされています。
対象者と今後の連絡
影響を受けた可能性があるのは、会員IDの先頭が「0~5」で始まる会員とのことです。対象者には順次、メールまたは郵送で個別に連絡を行う予定です。
フォーデイズの情報漏洩事案にみる脆弱性と組織が取るべき対応
照会機能への“スクリーピング型”アクセスのリスク
今回の不正アクセスは、特定IPアドレスから短期間に約560万回の異常アクセスが照会機能に対して発生したという点が特徴です。これはスクリーピング(自動収集)型の攻撃と見られ、個別認証を経ずに画面表示や情報取得が可能な「非認証API」または「簡易照会機能」などが存在した可能性があります。
この種の攻撃は、以下のような対策不足に起因することが多くあります:
-
CAPTCHAやRate Limit(アクセス制限)の未実装
-
IPアドレス単位のスロットリング(接続間隔制御)なし
-
ログイン前で取得可能な範囲が広すぎる
-
認証・認可機能と照会機能の分離が不十分
ログインパスワードやクレジットカード情報は「守られた」が…
今回、ログインパスワードやクレジットカード番号などは漏洩していなかった点は評価できます。しかしながら、**個人情報保護法上の「要配慮個人情報」に該当し得る医療関連項目(生年月日、口座情報、インボイス番号など)**が含まれており、リスクの大きさは依然として深刻です。
情報が「盗まれたかは不明」という発表であっても、公開状態で長期間アクセス可能だった事実自体が漏洩に該当するという判断を取る当局も増えており、説明責任と影響評価の徹底が求められます。
情報システム部門が確認・実施すべき対策
脆弱なエンドポイントの棚卸と監視強化
-
会員向け照会系画面/APIの棚卸し
→ 認証必須か? 表示データに機微情報が含まれないか? -
ログのリアルタイム監視設定
→ 不自然なリクエストの頻度や送信元IPの可視化
Webアプリケーションのセキュリティ制御見直し
-
CAPTCHA・WAF・Bot検知機能の導入
-
API Gatewayなどを活用したRate Limit制御
-
不要なGETパラメータ・POSTデータによる過剰な応答を制限
データベースとログ管理
-
ElasticsearchなどNoSQL系DBに対する認証制御の有無
-
誤って外部からアクセス可能となる「公開状態」の検出ツール活用(例:Shodan)
経営陣・広報・CS部門との連携
この種の事案では、技術部門だけで完結させない危機対応体制の整備が極めて重要です。
-
早期報告プロトコルの整備(CIO → 広報・法務への即時共有)
-
会員通知の段階的設計(影響度別テンプレートの用意)
-
コンシューマ視点のQAページ整備(問い合わせ削減)
