2025年10月、国内向けにステッカーや名刺制作サービスを提供する株式会社ステッカージャパン(大阪府大阪市 運営サイト:stickerjapan.com)を名指しした不正アクセスを示唆する投稿が、ダークウェブ上のハッカーフォーラムおよびTelegram上で確認されました。
投稿者は、同社の利用者情報とみられるデータを取得したと主張し、第三者に向けて販売を持ちかけています。
犯行声明の内容:最大11万件のユーザー情報を保持と主張
犯行声明では、対象サイトを「stickerjapan.com」と明示した上で、以下のような情報が記載されています。

ハッカーがステッカージャパンへのサイバー攻撃を主張-事実なら約11万人の個人情報漏洩の恐れ
-
対象国:日本
-
総ユーザー数:約110,000件
-
重複なしメールアドレス:約110,000件
-
重複なし電話番号:約80,000件
なお、公式にリリースは発表されていませんので実際に同社からの漏洩かは不明です。
現時点での公式発表について
2025年12月15日時点で、セキュリティ対策Labから同社へ本件に関する真偽調査やリリースを発表するか問い合わせしましたが2026年1月5日10時時点で返答はありません。
また、ステッカージャパン側から本件に関する情報漏えいの公式発表や注意喚起も確認されていません。
そのため、本件は現時点では「第三者による犯行声明」に基づく情報であり真偽は不明です。
流出したとされる情報の内訳
投稿内および添付されたサンプルデータからは、以下の個人情報が含まれている可能性が示唆されています。
-
氏名(漢字・カナ・ローマ字)
-
メールアドレス
-
電話番号
-
住所(都道府県、市区町村、番地)
-
アカウントIDや内部識別子
-
ハッシュ化されたパスワードとみられるデータ
-
IPアドレス、最終更新日時などの管理情報
実際に公開されたサンプルをセキュリティ対策Labで確認すると、大手企業の連絡先メールアドレスや電話番号が含まれており同社からの漏洩に関わらず企業の連絡先が実際に漏洩している事には注意が必要です。
データ販売条件と想定被害額
犯行声明では、データの販売価格として150ドルが提示されています。
これは1ドル=155円換算で約23,250円に相当します。
販売価格自体は低額ですが、
-
実在性が高いとみられる日本国内の個人情報
-
電話番号・住所を含む点
-
フィッシング詐欺、なりすまし、架空請求への転用リスク
を踏まえると、二次被害による実質的な損害規模は、販売価格を大きく上回る可能性があります。
想定される攻撃手法について
今回のケースについて、犯行声明のみから断定はできませんが、一般的には以下のような手法が考えられます。
-
Webアプリケーションの脆弱性悪用(SQLインジェクション等)
-
管理画面への不正ログイン
-
従業員や委託先を狙ったソーシャルエンジニアリングによる攻撃
-
一時的に作成されたアカウントや古いシステムの放置
特に、ECや印刷受注系のサービスでは、顧客情報と業務管理システムが密接に連携していることが多く、一度侵入されると大量の情報が流出するリスクがあります。








