1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 資生堂美容室、業務委託先 サインドへの不正アクセスで個人情報を閲覧された可能性-流出の痕跡なし

資生堂美容室、業務委託先 サインドへの不正アクセスで個人情報を閲覧された可能性-流出の痕跡なし

セキュリティニュース

投稿日時: 更新日時:

資生堂美容室、業務委託先 サインドへの不正アクセスで個人情報を閲覧された可能性-流出の痕跡なし

2026年5月7日、資生堂美容室(資生堂ビューティーサロン株式会社)は、予約・顧客管理システムを委託している株式会社サインドのサーバーに対して不正アクセスによるサイバー攻撃が発生し、顧客の個人情報が閲覧された可能性があると発表しました。

外部への個人情報流出の痕跡は確認されておらず、二次被害も現時点では報告されていません。クレジットカード情報や決済情報については当該システム内で一切保持していないため、本件による流出の懸念はないとしています。

この記事のサマリー

  • 2026年3月10日(火)、資生堂美容室の予約・顧客管理システムを運営する委託先・株式会社サインドのサーバーに対して不正アクセスによるサイバー攻撃が発生しました。
  • 外部のセキュリティ専門機関による調査の結果、個人情報が閲覧された可能性は否定できないものの、外部への個人情報流出の痕跡は確認されていません
  • 閲覧された可能性のある情報は氏名・電話番号・メールアドレス・性別・その他お客さまがシステムに入力した情報です。クレジットカード情報・決済関連情報は当システムで保持していないため対象外です。
  • 二次被害は現時点で確認されておらず、資生堂美容室は対象顧客に個別連絡を実施済みです。
  • 問い合わせ先は株式会社サインド([email protected])です。

事案の概要

項目 内容
発表日 2026年5月7日
攻撃の検知日 2026年3月10日(火)
資生堂美容室への報告日 2026年4月24日(金)
攻撃対象 株式会社サインド(業務委託先)のサーバー
攻撃の種類 不正アクセスによるサイバー攻撃
閲覧された可能性のある情報 氏名・電話番号・メールアドレス・性別・その他お客さまが入力した情報
クレカ・決済情報 当システム内では非保持のため流出の懸念なし
外部への情報流出痕跡 確認されていない
二次被害 現時点で確認されていない

閲覧された可能性のある個人情報

資生堂美容室でご利用いただいたお客さまの以下の情報が閲覧された可能性があります。氏名・電話番号・メールアドレス・性別・その他お客さまが当システムにご入力された情報がこれに該当します。

一方、クレジットカード情報や決済に関わる情報については、当システム内では一切保持していないとのことで、本件による流出の懸念はないことが確認されています。

事案発生から発表までの経緯

2026年3月10日(火)にサインド社においてシステムへの不審なアクセスが検知されました。その後、直ちにネットワークからの遮断等、被害拡大を防ぐための措置を講じるとともに、外部のセキュリティ専門機関と連携し、顧客情報の漏えいの有無等、事態の把握に向けた調査を実施しました。

資生堂美容室には2026年4月24日(金)に、サインド社から「外部のセキュリティ専門機関による調査の結果、お客さまの情報が閲覧された可能性が否定できないものの、外部への個人情報流出の痕跡は確認されていない」との報告を受けています。

委託先経由のサイバー攻撃という構造的な問題

本件は資生堂美容室のシステムが直接攻撃を受けたのではなく、予約・顧客管理システムを委託していたサインド社のサーバーが攻撃を受けた、委託先経由のサプライチェーンリスクの事案です。

業務委託先のシステムを通じて複数の委託元企業・サービスの顧客情報が一括して保管されている場合、攻撃者は最も防御の手薄な委託先を標的とすることで、多数の企業の顧客情報に一度にアクセスできるという攻撃上の有利さがあります。資生堂美容室は今後「委託先を含め情報管理体制の見直しを図る」としています。

参考情報

関連記事

PHP 8.5.6・8.4.21・8.3.31・8.2.31で複数の脆弱性を修正PHP 8.5.6・8.4.21・8.3.31・8.2.31で複数の脆弱性を修正 金融庁、地方銀行へClaude Mythos(クロード・ミュトス)サイバー攻撃への悪用 対策整備へ要請金融庁、地方銀行へClaude Mythos(クロード・ミュトス)サイバー攻撃への悪用 対策整備へ要請 北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ 株式会社はてな、最大約11億円のCEO詐欺 被害で特別調査委員会を設置株式会社はてな、最大約11億円のCEO詐欺 被害で特別調査委員会を設置 精電舎電子工業でサイバー攻撃で一時的なシステム障害精電舎電子工業でサイバー攻撃で一時的なシステム障害 アサヒ グループホールディングスへのサイバー攻撃で生産停止やグループ企業へも影響発生アサヒ グループホールディングスへのサイバー攻撃のまとめ ユタカ電業、Chatworkアカウントへの不正アクセス-フィッシングによる認証情報窃取か、従業員の個人情報漏洩の恐れユタカ電業、Chatworkアカウントへの不正アクセス-フィッシングによる認証情報窃取か、従業員の個人情報漏洩の恐れ 貸金業 キャッシングのキャネットの不正アクセスで10,981名の個人情報漏洩貸金業 キャッシングのキャネット、不正アクセスで10,981名の個人情報漏洩 サインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なしサインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なし