PBRレンディング、顧客の個人情報流出 原因は業務委託先の不正持ち出し

セキュリティニュース

投稿日時: 更新日時:

PBRレンディング、顧客の個人情報流出 原因は業務委託先の不正持ち出し

暗号資産運用サービス「PBRレンディング」を運営するPORTOBELLO ROAD株式会社は、2025年9月19日の初報に続き、9月22日に顧客の個人情報流出の続報を公表しました。外部からの不正アクセスの痕跡はなく、内部または内部に近い立場の者による情報持ち出しが疑われる中、

調査の結果、広告等の販売促進を委託していた株式会社ゼロアンリミテッドの代表者が、顧客情報約800件を不正に持ち出し、合同会社リンクスゲートへ提供していた事実を特定したとしています。

事案の経緯と続報

2025年9月18日、PBRレンディング(PORTOBELLO ROAD)は、合同会社リンクスゲート(Linx Lending)名義の勧誘郵便物顧客に届いていないか全顧客に照会しました。これを受けて200名超の顧客に許諾のない郵送が行われていた事実が判明しました。

翌9月19日の初報では、同社は顧客情報の一部が第三者に不正利用された疑いを公表し、リンクスゲートおよび代表者に対して、

(1)不正取得情報の即時利用停止

(2)全データの返還

(3)取得経緯の説明と謝罪

(4)損害賠償を求める内容証明を送付しました。

併せて、外部からの不正アクセスの可能性は低いとする調査結果の中間見解を示し、顧客から預かった暗号資産の残高照合で齟齬なし(資産流出なし)を確認した旨を発表しています。

続く9月22日の続報では、社内外の調査により、販売促進を委託していた株式会社ゼロアンリミテッドの代表者が、顧客情報約800件(KYC:氏名・生年月日・住所等。暗号資産数量など取引情報は含まず)を不正に持ち出し、リンクスゲートへ提供していた事実が判明しました。

当該代表者は犯行を自認し、同社は流出データの回収・破棄を完了、ゼロアンリミテッドとの業務委託契約を解除し、同社からの全アクセスを遮断しました。

現在、同社はリンクスゲートおよびゼロアンリミテッドの刑事告訴を準備するとともに、両社代表者との面談により、

(1)流出データの正確な範囲・利用態様の確認、

(2)リンクスゲートでの回収・破棄の完全化

(3)第三者への再流出の有無の確認、

(4)損害賠償協議を進めています。

再発防止

同社は再発防止として、

(1)KYC認証と販売促進業務の全面内製化

(2)権限最小化と相互牽制が効く管理体制への移行、

(3)社員教育の再実施

(4)ハッキング事案ではないものの端末・コールドウォレットの更新やパスワード変更を含むシステム全般の安全性見直し

を段階的に実施する方針です。対象顧客には個別連絡とお詫びを行い、何らかの補償も検討中としています。

今後の進捗は、メールおよび公式サイトで順次公表される予定です。

影響の整理

  • 流出した可能性がある情報:KYC関連(氏名・生年月日・住所)。 暗号資産の数量等、取引関連の情報は含まず

  • 規模約800件(続報時点)。初報で把握した200名超への無断郵送より範囲が広いことが判明。

  • 資産への影響コールド含む保管資産の照合で齟齬なし。外部侵入痕跡なし。資産流出は確認されていません

顧客が取るべき行動(実務的ガイド)

  • 不審な勧誘・連絡への注意:リンクスゲート等を名乗る郵送・電話・メールで、個人情報や資産移動を求める連絡には応答せず、公式窓口へ確認してください。

  • 本人情報の監視:氏名・住所・生年月日を前提としたなりすまし申請やDM勧誘に注意し、不審事象は記録の上で即連絡

  • 通知の確認:同社からの個別連絡・追加の注意喚起を確認し、必要な手続きを指示に従ってください。

情シス・管理部門向け所見(第三者リスクの教訓)

  • 委託先の「人」リスク:技術境界(外部侵入対策)を越え、委託先担当者による持ち出しが最大リスクになり得ます。契約条項(秘密情報の範囲・二次利用禁止・監査権・違約金)の強化と、**物理・論理DLP(抽出・持出検知/不可変ログ)**を「委託側にも義務化」すべきです。

  • データ最小化とマスキング:KYC等の外部授受は属性最小化疑似ID化を原則にし、宛名データと付帯情報の分離を徹底。

  • アクセスの可視化:委託先アカウントはゼロトラスト(時間・場所・端末制約)+JIT権限で付与し、抽出イベントは二経路承認+監査を必須