ジモティー、2025年11月の不正アクセスで社内開発環境でマルウェア感染を確認|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年01月21日更新日時: 2026年01月21日

株式会社ジモティーは2026年1月20日、同社が利用するシステムへの不正アクセスに関する調査結果を公表しました。

1 概要
2 外部から実際にアクセスされた、またはアクセスされた可能性のある情報
- 2.1 非個人情報記載のフラグ情報
- 2.2 従業員や協力会社のメールアドレス
3 対象者への連絡、監督官庁への報告、事業への影響
4 原因
5 再発防止策

概要

同社によれば、2025年11月26日夕刻に不審な兆候を検知し、検知後すぐにアクセス遮断と当該環境の隔離措置を実施しました。

その後の調査で、自動ビルド環境で利用していた外部プログラムに不正なコード(マルウェア)が混入していたことが原因と判明し、当該環境に保存されていた情報の一部が外部からアクセス可能な状態となり、実際に不正アクセスが行われた事実も確認したとしています。

現時点で、本件に伴う二次被害の報告は確認されていないものの、調査は継続中としています。

外部から実際にアクセスされた、またはアクセスされた可能性のある情報

ジモティーは、外部から実際にアクセスされたことが確認された情報として、次の2点を挙げています。

非個人情報記載のフラグ情報

1つ目は、ジモティーの売買カテゴリごとに問い合わせ実績があるかどうかを示すフラグ情報で、115,674件です。

これは家具、家電、自転車など各カテゴリへの問い合わせ実績の有無を示す真偽値の情報で、当該情報だけで個人が特定されるものではなく、具体的なメッセージ本文や日時などは含まれないと説明しています。また、この情報はユーザーIDと紐づいて管理されており、そのユーザーID自体はサービス内で公開されている符号だとしています。

従業員や協力会社のメールアドレス

2つ目は、同社の従業員、元従業員、および開発業務に従事する社外協力者の氏名とメールアドレスで、101名分です。

一方、外部からアクセスされた可能性がある情報としては、同社従業員および元従業員の111名分について、社内業務で利用していたサービスのIDやアカウント名、ならびに社内業務で利用していた開発支援ツールの利用有無を示すフラグ情報が挙げられています。

なお、当初は外部からアクセスされた可能性があるとみられたものの、その後の調査でアクセスが無いことが確認された情報として、ユーザー2名分のメールアドレス、ジモティーからの通知受取可否の設定、およびサービス内で公開されているIDが挙げられています。

対象者への連絡、監督官庁への報告、事業への影響

同社は、本件の影響を受ける可能性のあるすべての顧客、従業員、社外協力会社、取引先に対し、電子メールなどでの個別連絡を完了したとしています。また、個人情報保護法に定める報告対象に該当するため、個人情報保護委員会への報告も完了したと説明しています。

事業面では、ジモティーおよびジモティースポットなどの運営継続に問題はなく、2025年度および2026年度の業績への影響は軽微な見込みだとしています。

原因

今回の事案について同社は、開発プロセスで利用していた外部プログラムを経由して不正なコードが混入したことが直接的な原因だと整理しています。社内開発環境は本番環境と分離されていたものの、開発の自動化やツール連携の領域は、外部要素が入り込みやすい一方で見落としが生じやすく、サプライチェーン上の弱点として狙われることがあります。

再発防止策

ジモティーは再発防止策として、技術面と体制面の双方で対応を進めたとしています。

技術的な対策では、外部プログラムの導入プロセスを安全化し、意図しない自動更新を防止したほか、インストール時に付随するプログラムが自動実行される機能を制限したとしています。あわせて、開発環境で万一不正なプログラムが混入した場合でも被害を極小化できるよう、プログラムの実行権限を最小限に制限したと説明しています。いずれも実施済みとしています。

管理体制では、情報資産の重要度に応じた管理ルールを見直し、全社的な情報管理体制を強化するとしています。さらに、外部の専門的知見の活用も含めた全社的なリスクアセスメントと改善計画の策定を検討するとしたほか、経営層によるモニタリング体制の構築、全従業員へのセキュリティ教育の拡充と見直しに取り組む方針を示しました。