株式会社Custodiem(旧FTX Japan株式会社、東京都千代田区)は2026年4月10日時点の調査情報として、クラウド環境の誤設定による個人情報漏洩可能性に関する続報を公表しました。2025年8月の第1報では当初の影響範囲が限定的に公表されていましたが、追加調査の結果、漏洩した可能性がある情報の項目・期間が当初の発表よりも広範だったことが判明しました。
▶ 関連既存記事:Custodiem/Quoine、クラウド設定誤りで最大約3.6万人分の個人情報が閲覧可能状態に
この記事のサマリー
- 追加調査の結果、漏洩の可能性がある情報の範囲が拡大し、2014年7月5日以降にQUOINE株式会社・FTX Japan株式会社・Custodiemで口座を開設した顧客約245,000名が対象となる可能性があることが判明しました。
- 漏洩した可能性がある情報には、**氏名・住所・口座番号・取引履歴(売買履歴・残高・損益・入出金明細等)**に加え、2017年4月1日から2025年8月6日の期間に作成された取引報告書・年間取引計算書等の法定帳簿類が含まれます。
- 本件の原因は、Custodiemの買収後に実施したQUOINE PTE. LTD.(シンガポール法人)からCustodiemへの顧客データ移転作業における、海外業務委託先によるクラウド環境の設定誤りです。外部委託先管理・変更管理の実効性が不十分であったことも背景として認識しています。
- クレジットカード番号・パスワードは保有していないため漏洩対象に含まれず、2026年4月8日時点で二次被害は確認されていません。
- 金融庁・個人情報保護委員会へ、暗号資産交換業者に関する内閣府令・金融商品取引業等に関する内閣府令・個人情報保護法・マイナンバー法に基づく正式報告を完了しています。
目次
QUOINE株式会社とは——Custodiem・FTX Japanの前身
本件を理解するうえで重要な企業の変遷を整理します。
QUOINE株式会社(コイン)は、日本国内で金融庁から暗号資産交換業者として第一号登録(登録番号:関東財務局長第00002号)を2017年9月に受けた国内初の暗号資産交換業者であり、「Liquid by Quoine(リキッドバイコイン)」と「QUOINEX」を運営していました。アジア最大級の暗号資産取引所として最盛期には年間120億ドルを超える取引高を誇り、第一種金融商品取引業者(登録番号:関東財務局長(金商)第3297号)でもありました。
| 時期 | 社名・状況 |
|---|---|
| 2014年7月5日〜 | QUOINE株式会社として国内で暗号資産交換業を開始 |
| 2022年4月 | FTXによるリキッドグループ買収に伴いQUOINE株式会社からFTX Japan株式会社に社名変更 |
| 2022年11月 | FTX Tradingの経営破綻によりFTX Japan(旧QUOINE)がサービス停止 |
| 2024年7月 | bitFlyer Holdingsによる完全子会社化 |
| 2024年8月 | FTX Japan株式会社から株式会社Custodiemに商号変更 |
| 2025年8月 | クラウド誤設定による個人情報漏洩を第1報として公表 |
本件の情報漏洩は、CustodiemがbitFlyer Holdingsに買収された後に実施した、QUOINE PTE. LTD.(シンガポール法人・旧FTXグループ企業)のシステムからCustodiemのシステムへの顧客データ移転作業において発生しました。
漏洩した可能性がある情報の詳細
| 対象 | 詳細 |
|---|---|
| 対象顧客 | 2014年7月5日以降にQUOINE株式会社・FTX Japan株式会社・Custodiemで口座を開設した顧客(約245,000名) |
| 基本情報 | 氏名、住所、口座番号 |
| 取引情報 | 現物取引・証拠金取引に関する履歴情報(売買履歴、証拠金を含む法定通貨・暗号資産の残高、損益、入出金および送付・預入の明細等) |
| 法定帳簿類 | 2017年4月1日から2025年8月6日までの期間に作成された取引報告書兼証拠金受領通知書、取引残高報告書(月次)、年間取引計算書、先物取引に関する支払調書(暗号資産デリバティブ取引用)等 |
| 管理情報 | 上記書面の管理に使用されていた顧客ID・電子メールアドレス |
| 含まれない情報 | クレジットカード番号、パスワード(Custodiemは保有していない) |
本件の危険性——取引履歴・年間取引計算書を含む点
今回の漏洩が特に深刻な点は、取引残高・損益・年間取引計算書といった財務的に機微な情報が含まれている点です。単なる氏名・住所の漏洩にとどまらず、保有暗号資産の種類・数量・損益情報・出金履歴が含まれるため、詐欺師がより精度の高いソーシャルエンジニアリングを組み立てられる情報セットとなっています。
「暗号資産の損益について確定申告のご相談です」「税務署より過去の取引に関する問い合わせです」「あなたの暗号資産残高について重要なご連絡があります」といった、取引履歴の内容を踏まえた高精度なフィッシング・なりすましが発生するリスクがあります。不審な連絡には十分な注意が必要です。
経緯——第1報から続報へ
2025年7月31日(日本時間)、海外メディアの報道によってCustodiemとQUOINEのクラウド上の顧客データが適切なアクセス制限なく公開状態にある事実が発覚し、両社は同日中に是正措置を実施。Custodiemは速やかに金融庁・個人情報保護委員会へ報告しました。
その後の追加調査により、当初の公表よりも影響の範囲と期間が広範であることが判明し、今回の続報(2026年4月10日時点の事実確認)として正式に公表されました。
本件の根本原因として、Custodiemが買収された後の顧客データ移転作業における海外業務委託先のクラウド設定誤りに加え、当社の外部委託先管理・変更管理の実効性が十分でなかったこと、および社内規程等の遵守態勢が不十分であったことを組織全体の問題として認識しているとしています。
対象者への対応・問い合わせ先
現在、漏洩した可能性がある情報の第三者によるインターネット上での販売・二次利用・複製等の有無を継続調査しており、2026年4月8日時点でそのような事実は確認されていません。対象となった顧客には個別に通知が行われます。
お問い合わせ先 株式会社Custodiem E-Mail:[email protected]
よくある質問(FAQ)
Q. 私が対象かどうかどうやって確認できますか? 2014年7月5日以降にQUOINE・FTX Japan・Custodiemのいずれかで口座を開設したことがある方が対象となる可能性があります。Custodiemから個別通知が届いた場合は内容を確認し、不明点は上記お問い合わせ先へ連絡してください。
Q. クレジットカードや暗号資産は安全ですか? Custodiemはクレジットカード番号・パスワードを保有しておらず、これらは漏洩対象に含まれていません。暗号資産の資産そのものへの直接的な不正アクセスは、本件(クラウド設定誤り)とは別の問題です。ただし、取引履歴や残高情報が漏洩している可能性があるため、不審な連絡やフィッシングには十分注意してください。
Q. QUOINE時代に口座を持っていましたが、対象ですか? QUOINE株式会社の時代(2014年7月5日以降)から口座を持っていた方も対象に含まれる可能性があります。
Q. 取引履歴が漏洩した場合、どのようなリスクがありますか? 取引履歴・残高・損益情報を踏まえた精度の高い詐欺(税務申告を装ったフィッシング、暗号資産関連の投資詐欺等)のリスクがあります。心当たりのない連絡には慎重に対応し、公式の連絡先で確認することが重要です。
参考情報
- 【続報】クラウド環境の誤設定によるお客様情報漏えい可能性に関するお詫びとお知らせ(株式会社Custodiem)
- クラウド環境の設定の誤りによるお客様情報漏えい可能性に関するお詫びとお知らせ・第1報(2025年8月)
- 【関連既存記事】Custodiem/Quoine、クラウド設定誤りで最大約3.6万人分の個人情報が閲覧可能状態に
関連記事
Custodiem/Quoine、クラウド設定誤りで最大約3.6万人分の個人情報が閲覧 可能状態に
消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認
良知経営で不正アクセス、最大45万件の個人情報や取引先情報 流出の可能性
良知経営、不正アクセスの最終報を公表「情報流出の痕跡なし」
イセトーがランサムウェア 被害によりISO27001認証及びISO27017認証の一時停止
サトー、海外グループで個人情報漏洩の可能性-Oracle EBSのゼロデイを悪用したサイバー攻撃(CVE-2025-61882)
Coinbaseで発生した個人情報漏洩は約6.9万人超に影響-内部犯行と脅迫
、インドBPO企業の内部犯行による情報漏洩か-200x200.png)
Coinbase(コインベース)の情報漏洩、インドBPO企業の内部犯行か
英、ルノーとダチア、サイバー攻撃で情報漏洩
