ローレルバンクマシン株式会社は2026年1月9日、同社が提供するAI-OCRサービス「Jijilla」のサーバーに対する不正アクセス事案について、外部専門業者によるフォレンジック調査を含めた最終的な調査結果を公表しました。
本事案は、2025年9月25日に発生した身代金要求を伴う不正アクセスに端を発するもので、最大で22万3,000帳票分の情報が漏えいした可能性があるとしています。
目次
辞書攻撃によるデータベース侵入の可能性が高い
同社の発表によりますと、外部専門家によるフォレンジック調査の結果、第三者が辞書攻撃などを繰り返し実施することで、「Jijilla」サーバーのデータベースに不正侵入した可能性が高いことが2025年10月15日に判明しました。
不正侵入後、攻撃者はデータベース内のデータを削除したうえで、窃取した可能性があるとされています。一方で、ランサムウェアなどのマルウェア感染は確認されておらず、現時点で実害の発生も確認されていないと説明しています。
発覚から初動対応までの経緯
事案は、2025年9月25日に「Jijilla」を利用する顧客から「サービスが利用できない」との連絡があったことで発覚しました。社内調査の結果、サーバー内のファイル消失が確認され、同社は以下の初動対応を実施しています。
-
当該サーバーおよび関連システムの即時停止
-
ネットワーク遮断による被害拡大防止措置
-
利用顧客への状況説明
-
所轄警察および個人情報保護委員会への報告
-
外部専門業者によるフォレンジック調査の実施
同社利用企業でインシデントした企業
Jijillaを利用していた以下企業でもインシデントを発表しています。
- みずほ証券
- 丸三証券
- 第一フロンティア生命保険
- 野村證券
- NRIフィナンシャル・グラフィックス
- 東洋証券
- 広島銀行
- 慶應義塾大・通信教育部
- パーソル 総合研究所
- 伊予銀行
漏えいした可能性がある情報の範囲
調査の結果、以下の情報が漏えいした可能性があるとしています。
「Jijilla」利用顧客の社員
-
氏名・メールアドレス:18件
OCR処理されたアンケート回答データ
-
22.3万帳票分
-
回答項目数:約55万箇所相当
※無記名アンケートであり、直接的な個人情報の記載欄はなかったと説明されています。
その他の利用者
-
トライアル利用などで登録されていた
氏名・メールアドレス:361件
なお、特定個人情報、機微情報、クレジットカード情報などは含まれていないとしています。
利用者への注意喚起 フィッシングメールに警戒呼びかけ
同社は対象となる顧客に対し、順次個別に連絡を行っていますが、連絡先不明の場合は本公表をもって通知に代えるとしています。
また、漏えいの可能性を踏まえ、次のような注意喚起を行っています。
-
フィッシングメールや迷惑メールへの警戒
-
不審なリンクや添付ファイルを開かないこと
-
メールアドレスをIDとして利用しているサービスのパスワード変更
-
二要素認証(MFA)の設定検討








