1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ

北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ

セキュリティニュース

投稿日時: 更新日時:

北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ

2026年5月7日、北海道ガス株式会社(札幌市中央区)および同社の子会社で液化天然ガス(LNG)配送を担う北海道LNG株式会社は、「LNG受発注システム」のサーバーに対する外部からの不正アクセスがあり、取引先担当者および両社従業員の個人情報が流出した可能性があると公式に発表しました。

外部専門機関との調査では現時点で情報の不正利用等の二次被害は確認されていません。本公表は、退職等の理由により個別連絡が完了していない対象者13名(通知未完了分)に向けて個人情報保護法の趣旨に則り実施するものです。

この記事のサマリー

  • 2026年1月22日に北海道LNGにおいてLNG受発注システムへの不正アクセスの痕跡が確認されました。
  • 漏洩した可能性がある情報は、同システム登録者の**会社名・氏名・メールアドレス・システムログイン用パスワード(暗号化されたもの)**です。
  • 対象者の合計は296件(通知完了283件・通知未完了13件)。通知未完了の13件は退職者・元担当者が対象です。
  • 発覚後直ちに個人情報保護委員会への報告および外部からの不正アクセスの遮断・監視強化等のセキュリティ対策を講じており、現在は安全な状態を確保しています。
  • 現時点で二次被害は確認されていませんが、対象者には不審なメール等への注意を呼びかけています。

事案の概要

項目 内容
発覚日 2026年1月22日
公表日 2026年5月7日
被害システム LNG受発注システム(北海道LNG株式会社が運用)
不正アクセスの内容 外部からサーバーへの不正アクセス
漏洩した可能性がある情報 会社名・氏名・メールアドレス・ログイン用パスワード(暗号化)
対象件数 合計296件(通知完了283件・未完了13件)
二次被害の有無 現時点で確認されていない
主な対応 個人情報保護委員会への報告・不正アクセス遮断・監視強化

漏洩した可能性がある情報と対象者の内訳

漏洩した可能性がある情報は以下の4種類です。会社名、氏名、メールアドレス、本システムへのログイン用パスワード(暗号化されたもの)です。

パスワードは暗号化された状態での流出とされており、平文のパスワードが直接取得された可能性は低いとみられますが、暗号化方式の強度によっては解読のリスクが残ります。

区分 件数 内訳
通知完了 283件 個別案内済み
通知未完了 13件 北海道ガス:9件(取引先の元担当者6件・元従業員3件) / 北海道LNG:4件(取引先の元担当者3件・元従業員1件)
合計 296件

本公表の主な目的は、退職・担当者交代等により個別の通知が届いていない13名への情報提供です。

「LNG受発注システム」とは

北海道ガスはLNGの配送を子会社の北海道LNGに委託しています。同システムはLNG取引先(法人)と北海道LNG・北海道ガスの担当者が受発注業務に使用する業務システムであり、法人取引先の担当者と社内従業員の双方がログイン・使用していたとみられます。

なぜ発覚から公表まで約3.5か月かかったのか

不正アクセスの発覚は2026年1月22日、公表は2026年5月7日であり、約3.5か月の期間があります。この間、個人情報保護委員会への速報(事態認識から3〜5日以内が推奨)は実施しつつ、個別通知の送付・外部専門機関による調査・セキュリティ対策の実施が行われていたとみられます。

本公表は「退職等により個別連絡が届いていない13名」に向けた告知を主目的としており、公表タイミングは通知対応の完了状況を踏まえて判断されたものと考えられます。

対象となる可能性がある方へのお願い

北海道ガスおよび北海道LNGから個別連絡が届いていない元担当者・元従業員の方は以下にご注意ください。

本件に起因するフィッシングメール・なりすましメール・不審なSMS等に十分ご注意ください。特にメールアドレスが流出した可能性があるため、北海道ガス・北海道LNGを名乗る不審な連絡には対応しないことが重要です。また本システムと同じパスワードを他のサービスで使用している場合は、速やかにパスワードを変更することを強く推奨します(パスワードの使い回し防止)。

情シス・セキュリティ担当者へのポイント

本件の特徴は「LNG受発注という業務特化型のシステム」への攻撃という点です。基幹システムや顧客向けWebサービスと比べて、業務用の受発注・在庫管理・物流管理系システムのセキュリティ対策が後回しになりやすい傾向があります。

また「暗号化されたパスワードが流出」という報告は、データベースの暗号化が機能していた点では評価できますが、ハッシュアルゴリズムの強度・ソルト(塩値)の使用有無によっては、オフラインでのクラック(解読)が現実的になります。業務システムのパスワードハッシュ化方式の定期的な見直しが推奨されます。

よくある質問(FAQ)

Q. 個別連絡が届いていない場合はどうすればいいですか? 北海道ガスのお客さまセンター(011-792-8263、平日9:00〜17:00)にお問い合わせください。退職・担当者交代で連絡が届いていない可能性がある元担当者・元従業員の方が対象です。

Q. パスワードが「暗号化されたもの」とはどういう意味ですか? ログイン用パスワードはシステム上でハッシュ化等の暗号化処理を施した形で保存されており、平文のパスワードそのものが流出したわけではないとされています。ただし暗号化の強度によっては解読が試みられる可能性があるため、同じパスワードを他のサービスで使用している場合は変更が必要です。

Q. ガスの供給・配送への影響はありますか? 公表文では供給・配送への影響についての言及はなく、「現在は安全な状態を確保している」としています。

参考情報

関連記事

いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 西日本シティ銀行、職員が「BeReal」で支店内を撮影—顧客7名の氏名・業績目標・PC画面がX上で拡散し個人情報漏洩西日本シティ銀行、職員が「BeReal」で支店内を撮影—顧客7名の氏名・業績目標・PC画面がX上で拡散し個人情報漏洩 消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認 双日テックイノベーション、委託先の設定不備で「おべんとね!っと」の個人情報流出の恐れ双日テックイノベーション、委託先の設定不備で「おべんとね!っと」の個人情報流出の恐れ OpenAI、サードパーティーツールのインシデントで個人情報漏洩の可能性OpenAI、サードパーティーツールのインシデントで個人情報漏洩の可能性 LIFULL HOME'S、いえらぶCLOUDへの不正アクセスの影響でユーザーの個人情報流出の恐れLIFULL HOME’S、いえらぶCLOUDへの不正アクセスの影響でユーザーの個人情報流出の恐れ 株式会社ECOMMIT(エコミット)、従業員のメールアカウントへの不正アクセスされフィッシングメール 送信株式会社ECOMMIT(エコミット)、従業員のメールアカウントへの不正アクセスされフィッシングメール 送信 村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ 沖縄総合事務局、FileZenへの不正アクセスで15,091名の個人情報漏洩の恐れ-CVE-2026-25108へのゼロデイ攻撃か沖縄総合事務局、FileZenへの不正アクセスで15,091名の個人情報漏洩の恐れ-CVE-2026-25108へのゼロデイ攻撃か