1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. フォトクリエイトやスナップスナップ、不正アクセスで個人情報漏洩の恐れ-ハッカーがダークウェブで犯行声明

フォトクリエイトやスナップスナップ、不正アクセスで個人情報漏洩の恐れ-ハッカーがダークウェブで犯行声明

セキュリティニュース

投稿日時: 更新日時:

フォトクリエイト、7月の不正アクセスで個人情報漏洩の可能性-ハッカーが犯行声明

株式会社キタムラ・ホールディングスのグループ会社である株式会社フォトクリエイトは、同社サービスを提供するWebサーバーが第三者からの不正アクセスを受け、一部登録メールアドレス宛にフィッシングメールが送信される事象について、2025年7月31日に公表していました。

独立した外部セキュリティ機関によるデジタル鑑識調査と、ダークウェブ上の関連情報調査を継続した結果、

2025年11月9日時点で「同社が保有する個人情報を保有している」との声明を確認し、第三者機関との協議を経て個人情報漏えいの恐れがあると公表。

なお、フォトクリエイトは学校写真販売サイト、スナップスナップ「snapsnap」も運営しておりこのサービスに登録していた個人情報も漏洩対象となります。

同時期 注意喚起記事:ハッカーが愛知県のパンのトラから不正アクセスした個人情報の販売を主張-2024年のサイバー攻撃で漏洩した個人情報か

不正アクセスの概要

2025年7月24日、利用者からの問い合わせで不正アクセスを認知し、翌25日に社内技術チームが調査を開始。

7月28日にはPマーク審査機関(JUAS)へ速報、7月29日には個人情報保護委員会へ速報を実施。同日、Webサーバー上で不正なプロセスを発見し、対象サーバーの隔離と不正プロセス削除を行いました。7月30日に外部専門業者へデジタル鑑識を依頼し、7月31日に各所への続報とともに、コーポレート/各サービスサイトで注意喚起を掲載。8月以降は、証拠保全・監視強化、警察(捜査当局)への相談、会員登録者への注意喚起メール配信を順次実施。

9月5日には中間報告を掲出し、セキュリティ強化済みの新Webサーバーでの運用を開始。10月10日に速報のセキュリティ診断で悪用に用いられた脆弱性が解消済み”あることを確認し、10月15日に鑑識の最終報告を受領、翌16日に個人情報保護委員会へ報告書を提出しています。


11月9日にダークウェブ上で「同社保有の個人情報を保有している旨の声明」を新たに把握し、11月12日に個人情報保護委員会と協議のうえ、漏えいのおそれありと最終判断しました。

 

学校行事の写真を販売する スナップスナップにも影響

フォトクリエイトで漏洩した情報には、幼稚園や保育園、小中学校などで行われた学校行事の写真を販売するサービス

スナップスナップの情報も含まれており、

園児、中高生、保護者の住所やメールアドレス、電話番号 パスワードも漏洩の恐れがあります。

ハッカーは約860万行のデータ窃取を主張

2025年11月9日時点で、サイバー犯罪系フォーラムにおいて、フォトクリエイト(photocreate.co.jp)関連データの売却投稿が確認されました。

対象データは、複数ドメインの会員基盤から取得したと説明(例:allsports.jp、snapsnap.jp、photochoice.jp、gloriare.jp、同社サービスのサブドメイン等)しています。

フォトクリエイト、7月の不正アクセスで個人情報漏洩の可能性-ハッカーが犯行声明

投稿者は、2025年7月に同社環境へ侵入したと主張し、以下のような内容を掲げています。

  • 取得したとするファイル名と件数をmembers.csv:約860万行 members_addresses.csv:約700万行などと列挙し、2008年〜2025年の顧客データが含まれると主張。

  • 含有項目として氏名、住所、メールアドレス、ハッシュ化パスワード、電話番号、生年月日等を挙げ、1万件のランダムサンプルを提示したと記載。

  • 価格は5,000米ドル(約78万円)、支払いはBTC/XMR単独購入者への独占販売をうたうなど、典型的な恐喝・転売の様式で投稿。

  • 連絡手段として匿名メッセンジャーのIDを記載し、「企業側が買い戻すことも歓迎」と挑発的な表現を含む。

※上記は投稿者の一方的な主張であり、実在性・完全性・正当性は未検証です。違法投稿へのアクセス・購入・接触は行わないでください

公開されたサンプルデータ

セキュリティ対策Labでサンプルデータを確認すると1万件のユーザーのメールアドレスやハッシュ化と復号化されたパスワード、氏名、住所、に関する情報が公開されていました。

※本件に関しては実際に同社から漏洩したかは未確定です。





各種情報の速やかな変更を推奨

漏洩の懸念や心配がある方は念のため以下対応をお勧めします。

・メールアドレス、ID、復号化されたパスワードでパスワードリスト型サイバー攻撃の懸念があるため、パスワードを使いまわしている場合を想定し、利用しているパスワードを全て変更

Gmailやアマゾン、証券口座など各種サービスは全て多要素認証パスキーを設定

特にGmailは各種サービスのログインや会員登録が可能なため、悪用の範囲が広いです。Gmailを利用している場合は速やかに多要素認証とパスワード変更をお勧めします。

フィッシングメールや海外からの詐欺電話、DMに注意

ダークウェブの情報漏洩が事実であれば、メールアドレス、電話番号、氏名、住所など重要な個人情報が漏洩しています。

その為、

  • 前段のパスワードリスト型サイバー攻撃
  • フィッシングメールの配信
  • 海外からの詐欺電話
  • 警察や国税庁を騙る詐欺DMの送付

などが発生する可能性があります。

特に海外からの発信による電話は全て拒否する事をお勧めします。

判明した原因とシステムへの影響(公式発表)

外部専門家のデジタル鑑識では、利用ソフトウェアの脆弱性が不正アクセスの起点であったことが確認されています。攻撃者はWebサーバー上へ不正プログラムを設置・起動しました。なお、当該脆弱性への対処と、システム面の是正措置は完了済みです。

漏えいのおそれがある情報(公式発表)

対象となり得る項目は、氏名、住所、メールアドレス、パスワード、電話番号、生年月日、性別、ニックネームです。同社はクレジットカード情報を一切保有しておらず、本事案に起因するクレジットカード情報の漏えいは発生しないと説明しています。

利用者へのお願い(公式発表)

漏えいのおそれがある個人の方には個別に通知が行われます。パスワードについては漏えいのおそれを前提に、変更を必須とする措置が導入され、必要文字数も引き上げられました。他サービスで同一パスワードを使用している場合は速やかな変更が推奨されています。

関連記事

ルイ・ヴィトン(Louis Vuitton) 日本、不正アクセスによるサイバー攻撃で個人情報漏洩の可能性ルイ・ヴィトン(Louis Vuitton) 日本、不正アクセスによるサイバー攻撃で個人情報漏洩の可能性 Insecamとは?概要を解説Insecamとは 世界の監視カメラを閲覧できるサイト SHEIN(シーイン)の危険性を解説SHEINの危険性を解説 「7月からゆうちょ銀行の口座が使えなくなる」YouTube製フェイク動画が拡散-ゆうちょ銀行も注意喚起「7月からゆうちょ銀行やJAバンクの口座が使えなくなる」YouTubeでフェイク動画が拡散 ルイ・ヴィトン(Louis Vuitton) 韓国-6月の不正アクセスで個人情報漏洩を発表ルイ・ヴィトン(Louis Vuitton) 韓国-6月の不正アクセスで個人情報漏洩を発表 Temu(テム)はユーザーの個人情報を窃取する危険なマルウェア 米アーカンソー州司法長官Temuの危険性を解説 ポケモンセンターオンライン、リスト型攻撃による不正ログイン 被害を報告ポケモンセンターオンライン、リスト型攻撃による不正ログイン 被害を報告 BeReall(ビーリアル、ビリール)の危険性BeReall(ビーリアル)の危険性を解説 パスキーとは?メリットや概要を解説パスキーとは?メリットや概要を解説