西日本鉄道株式会社(以下、西鉄)は2025年5月9日、同社が運営するエコ企業定期券Webサイトに対して第三者による不正アクセスが行われたことを公表しました。これにより、最大で3,019件の顧客情報が漏えいした可能性があることが明らかになりました。
インシデントの概要
西鉄によると、2025年5月5日(月)に不正アクセスが発生。5月7日(水)に利用企業から「サイトにログインできない」との問い合わせがあり、調査を進めたところ、外部からの侵入が確認されました。
侵入経路は、サイト制作時に使用され、その後サーバー内に残されていた開発用プログラムと見られています。
現時点では、漏えいした情報が不正利用された事実は確認されていないとしていますが、影響を受けた可能性がある利用者には、個別に連絡を進めています。
漏えいの可能性がある情報
漏えいした可能性がある情報は以下の通りです。
-
法人名
-
代表者氏名
-
所在地
-
担当者情報(部署名・氏名・メールアドレス・電話番号)
対象となる登録件数は3,019件に上ります。
西鉄の対応と今後の方針
-
不正侵入に使われた開発用プログラムは5月7日に削除。
-
同日以降、Webサイトへの外部アクセスは完全に遮断し、第三者による操作ができない状態にしています。
-
現在も引き続き詳細な調査を実施中であり、新たな事実が判明した場合には速やかに公表する方針を示しています。
-
再発防止策として、当該Webサイトの全面刷新とセキュリティ強化を行い、2025年度上期中のリニューアルを目指すとしています。
不正アクセス事件が企業にもたらすリスク
企業にとって、不正アクセスによる情報漏えいは重大な経営リスクとなります。特に今回のような顧客情報漏えいが発生した場合、次のような影響が考えられます。
-
顧客からの信頼失墜
個人情報を扱う責任を果たせなかったとして、ブランドイメージが大きく損なわれます。 -
損害賠償請求や訴訟リスク
漏えいによる損害を受けた顧客から、金銭的な補償を求められる可能性があります。 -
行政機関からの行政指導や罰則
個人情報保護法に基づき、行政からの指導や制裁が科される場合があります。 -
競合他社への顧客流出
顧客が安全性を重視して他社に乗り換えるリスクも高まります。 -
内部体制の見直しによる追加コスト
再発防止策のためにセキュリティ対策や監査体制を強化する必要があり、結果としてコスト負担が増加します。
不正アクセスによる影響は一過性のものにとどまらず、長期的な経営への打撃に発展することが多いため、早期対応と徹底した再発防止が不可欠です。
一部参照
https://www.nishitetsu.jp/userfiles/information/0fe92f9277acc477475e253921479d1d.pdf
関連記事
短期人材サービス「ネクストレベル」不正アクセスにより約49万件の個人情報漏洩が発生
髙野総合会計事務所のサイバー攻撃とランサムウェア攻撃による個人情報 漏洩のまとめ
巴商会がランサムウェア感染と不正アクセスの第二報を報告|ランサムウェア 事例
髙野総合会計事務所がランサムウェア 被害に関する第三報を発表
美容業務用品を販売するミツイコーポレーション、1月のランサムウェアと不正アクセスで個人情報漏洩の可能性
エッグネスト株式会社のSNSアカウント(Instagram)が乗っ取り被害- 不審な投稿や連絡に注意
業務に潜むシャドー AIとは-見えない生成AIが企業にもたらすリスクとは
名古屋市 市立西陵高校でUSBメモリ紛失、640名分の個人情報流出の可能性
Have I Been PwnedがALIEN TXTBASEから流出した 2億8,400万件のメールアドレスとパスワードをデータベースに統合
