関西エアポート、法人向けサービス「GBC」に不正アクセス　会員1万件超の個人情報が漏洩の可能性

2025年4月28日、関西エアポート株式会社は、同社が提供する法人向け会員制サービス「KIX-ITM Global Business Club（以下、GBC）」のサーバが外部から不正アクセスを受け、最大で10,575件の会員個人情報が漏洩した可能性があることを公表しました。漏洩が確認された個人情報には、企業名やメールアドレスなどが含まれるものの、クレジットカード情報は含まれていないとのことです。

システム点検中に発覚、2024年に不審な通信

本件は、同社が2025年4月24日に実施した脆弱性診断の過程で発覚しました。点検中、外部から一部情報が閲覧可能な状態であったことが確認され、調査の結果、2024年4月6日に第三者からの複数の不審なアクセス履歴が記録されていたことが判明しました。

漏洩した情報の内容と範囲

漏洩の対象となった個人情報の内訳は以下の通りです：

• 企業情報（企業名・住所・電話番号・担当者の役職・部署・メールアドレス）：815件

• GBC利用会員のメールアドレス：9,760件

対象は、2024年4月6日時点での登録会員であり、それ以降に入会した会員は含まれていません。なお、現時点では情報の不正利用は確認されていないとしています。

今回のインシデントは主に法人向けのメールアドレスが対象となっており、今後、これらの情報を悪用した標的型攻撃メールやフィッシングメールの配信の可能性もあります。たとえば、実在する部署や担当者名をかたった偽メールが送信され、添付ファイルを開かせてマルウェアに感染させたり、認証情報を窃取したりするケースが想定されます。

関西エアポートの対応と再発防止策

同社は今回の事案を深刻に受け止め、当該サービスのセキュリティ体制を全面的に再構築・再点検し、今後の強化に努めると表明しています。
また、対象会員への通知や説明の実施とともに、セキュリティレベルの引き上げに取り組むとしています。

対象となった企業・関係者へのアドバイス

以下のような対策を講じることで、被害を未然に防ぐことが可能です

• 不審なメールの添付ファイルやリンクを絶対に開かない

• 社内でGBCに登録されているメールアドレスを共有し、注意喚起

• セキュリティ対策ソフトの定義ファイルを最新状態に保つ

• メールに含まれるドメインや送信元アドレスを精査する

• 不審な内容のメールは、情報システム部門へ即時報告