2026年6月4日、ビジュアルアーツ(大阪府大阪市)は、第三者による社内ポータルシステムのクラウドストレージ認証情報の窃取を起点とした不正アクセスにより、最大約1万3,559件(調査継続中)の個人情報が漏えいした可能性があると公表しました。
最大のリスクは漏えいした情報の性質にあります。
一般顧客情報にとどまらず、個人番号(マイナンバー)を含む取引先情報484件、氏名・住所・生年月日・マイナンバーに加えて本人確認書類の画像データを含む従業員・元従業員情報114件も漏えいのおそれに含まれており、いずれも悪用された際の被害が深刻な要保護個人情報です。
さらに今回の事案には特筆すべき発覚の経緯があります。
自社のセキュリティ監視によって不正アクセスが検知されたのではなく、2026年4月19日に発売前のゲームタイトル「anemoi」のマスターデータが海外ウェブサイトに無断でアップロードされているのを偶然発見したことが調査の起点です。
この経緯は、攻撃者の侵入を検知できず、知財の流出という二次的な痕跡によってのみ侵害を認識したという組織的な監視体制の課題を示しています。本記事では攻撃手法の詳細・漏えいのおそれがある情報の全容・発覚の経緯が示す教訓・対象者が取るべき対応を解説します。
サマリー
- 2026年6月4日、ビジュアルアーツが不正アクセスによる個人情報漏えいの可能性を公表。個人情報保護委員会への速報報告は2026年5月11日に提出済み
- 攻撃手法:社内ポータルシステムが利用するクラウドストレージの認証情報が第三者に窃取され、クラウドストレージ上のファイルが外部に持ち出された
- 発覚の経緯:自社の監視ではなく、未発売ゲーム「anemoi」のマスターデータが2026年4月19日に海外ウェブサイトへ無断アップロードされているのを確認したことが調査の起点
- 漏えいのおそれがある個人情報は7カテゴリ合計約13,559件(調査継続中)。マイナンバーを含む取引先情報484件・従業員の本人確認書類画像を含む従業員情報114件を含む
- 現時点で「anemoi」マスターデータ以外の情報が外部サイトで公開・拡散されている事実および二次被害は未確認
- 公式通販サイト「VA STORE」の新規注文を十分な安全性確認まで一時停止
- 再発防止策として認証方式の抜本的見直し・24時間外部監視体制・情報セキュリティ教育の実施を予定
目次
発覚の経緯—「偶然」の知財流出が侵害を照らし出した
ビジュアルアーツの公式発表(2026年6月4日)によれば、事案の発端は2026年4月19日、発売前の自社ゲームタイトル「anemoi」のマスターデータが海外ウェブサイトに同社の許諾なくアップロードされているのを確認したことです。
この発見をきっかけに漏えい原因の調査を実施したところ、第三者によって社内ポータルシステムが利用するクラウドストレージの認証情報が窃取され、クラウドストレージ上に保存されていた「anemoi」マスターデータを含む社内情報が外部に持ち出された可能性が高いことが判明しました。
今回の発覚経緯が示す重要な教訓は、侵害が「自社の監視体制」ではなく「攻撃者が盗んだ知財の対外流出」という二次的な現象によってのみ発覚した点にあります。クラウドストレージへの不正アクセス自体は同社のアラートでは検知されておらず、攻撃者がすでに認証情報を取得してクラウド上のファイルを自由に操作できる状態が、どの時点から続いていたかも公表された情報からは不明です。
攻撃手法—クラウドストレージ認証情報の窃取
今回の攻撃の核心はクラウドストレージの認証情報(ID・パスワード、またはAPIキー・アクセストークン等)の窃取です。同社の社内ポータルシステムはクラウドストレージサービスと連携しており、この認証情報が第三者の手に渡ったことでクラウドストレージ上のファイルに対する読み取り・ダウンロードが可能な状態になりました。
認証情報の窃取経路については公式発表では特定されていませんが、同種の攻撃で一般的に見られる手口として、フィッシングメールによる認証情報の詐取、ソーシャルエンジニアリングによる誘導、マルウェア(インフォスティーラー)によるエンドポイントからの認証情報窃取、または以前の別の侵害で流出した認証情報のリスト型攻撃(クレデンシャルスタッフィング)が挙げられます。
「クラウドストレージの認証情報が窃取された」という経路は、CAMPFIREのGitHub PAT流出事案(2026年4月〜5月)と同様の「クラウド連携サービスの認証情報が標的になるパターン」と一致しています。
漏えいのおそれがある個人情報の全容—7カテゴリと要保護情報
公式発表が示す漏えいのおそれがある個人情報は以下の7カテゴリです。なお件数・対象者数については現在も調査継続中であり確定値ではありません。
| カテゴリ | 件数 | 主な情報の内容 |
|---|---|---|
| 個人のお客様(ハンドルネーム含む) | 約6,017件 | 氏名(ハンドルネーム含む)・メールアドレス |
| 個人のお客様(詳細情報含む) | 約2,626件 | 氏名・住所・電話番号・メールアドレス |
| 個人のお取引先様 | 約1,859件 | 氏名・住所・電話番号・メールアドレス |
| マイナンバーを含む個人のお取引先様 | 約484件 | 氏名・住所・電話番号・メールアドレス・個人番号(マイナンバー) |
| 法人のお取引先様 | 約1,452件 | 担当者の氏名・メールアドレス |
| 採用応募者様 | 約1,007件 | 氏名・住所・電話番号・メールアドレス・生年月日 |
| 弊社従業員(退職者含む) | 約114件 | 氏名・住所・電話番号・メールアドレス・生年月日・マイナンバー・一部の本人確認書類画像データ |
特に深刻なのは後者の2カテゴリです。
マイナンバーは個人識別番号として税・社会保障・災害対策に使用される政府認証の番号であり、不正利用された場合の影響は金融・医療・行政の複数領域に及びます。
本人確認書類の画像データ(パスポート・運転免許証・マイナンバーカード等が想定される)が流出した場合、なりすまし申請・不正口座開設・SIMスワッピング攻撃等に悪用されるリスクがあります。
お客様向けの情報としては、VA STOREでの購入者または抽選応募者のうち一部、弊社主催のアンケートや抽選参加者の氏名・メールアドレスの一部が対象とされています。
知財被害との同時発生—未発売ゲーム「anemoi」の流出
今回の事案はセキュリティ事案と同時に知的財産権の侵害でもあります。「anemoi」は発売前のタイトルであり、そのマスターデータ(ゲームの構成情報・シナリオ・グラフィックス等の基幹データ)が外部に流出し、海外ウェブサイトへ無断アップロードされていました。
未発売コンテンツの流出は、発売日・収益計画・マーケティング戦略に多大な影響を及ぼします。特にビジュアルノベルというジャンルは物語の展開がコアバリューであり、シナリオや設定の事前流出は商品価値の毀損に直結します。情報セキュリティの観点からは、こうした「知財」もパーソナルデータと同様に保護すべきビジネスクリティカルな情報資産であるという認識が、今回の事案によって改めて浮き彫りになりました。
公式通販サイトVA STOREの新規注文一時停止
ビジュアルアーツは今回の事案を受け、公式通販サイト「VA STORE(https://va-store.jp/)」の新規注文受付を一時停止しています。「十分な安全性が確認されるまでの間、新たにお客様の個人情報をお預かりすることは適切ではない」という判断に基づく措置です。再開に当たっては、セキュリティ監視体制の整備と従業員への情報セキュリティ教育の完了を条件としています。
再発防止策の方針
発表された再発防止策は3点です。まず社内システムへのアクセス権限と使用する認証方式の抜本的な見直しと強化が挙げられています。今回の侵害がクラウドストレージの認証情報窃取を起点としていたことから、多要素認証(MFA)の導入・認証情報の定期的なローテーション・最小権限原則に基づくアクセス制御の見直しが含まれるものと考えられます。次に外部専門機関による24時間監視体制の確保と、クラウドサービスを含む社内システム全体への不審アクセス検知・監視体制の整備が挙げられています。今回の事案で「侵害を自社監視で検知できなかった」という課題への直接的な対応です。そして全従業員を対象とした情報セキュリティ教育の強化も予定されています。
情報システム担当者が確認すべき対応
クラウドストレージの認証情報管理の見直しが最優先です。自組織が利用しているクラウドストレージサービス(AWS S3・Google Cloud Storage・Azure Blob Storage・Dropbox Business等)のアクセスキー・サービスアカウント認証情報について、以下を確認してください。有効期限のない長期アクセスキーが存在しないか、MFAが有効化されているか、最小権限原則に基づいてアクセス権限が設定されているか、認証情報が社内ポータルやソースコードリポジトリに平文で保存されていないか——これらは今回のような事案の前提条件となる脆弱性です。
クラウド環境のアクティビティログの常時監視も重要です。今回の事案では侵害を自社で検知できず、被害が知財の流出という形で外部に露出して初めて発覚しています。クラウドプロバイダーが提供するアクティビティログ(AWS CloudTrail・Google Cloud Audit Logs等)を外部のSIEMまたはログ管理サービスと統合し、異常なダウンロード・アクセスをリアルタイムに検知する体制を整備することが、こうした「静かな情報持ち出し」への対抗手段として有効です。
FAQ
Q. VA STOREを利用したことがあります。自分が対象かどうかを確認する方法はありますか? A. ビジュアルアーツからは対象となる可能性がある方に順次個別通知が送付されています。ただし通知が届いていない場合でも対象外と確定したわけではないとされています。不安な方は公式の特別対応窓口(フリーダイヤル:0120-82-7085、受付時間:平日10:00〜18:00)またはメール([email protected])にお問い合わせください。
Q. マイナンバーが漏えいした可能性がある場合、どのような対処が必要ですか? A. マイナンバーそのものを変更することはできませんが、不正利用の防止策としてお住まいの市区町村の窓口に相談することが可能です(公式FAQにも記載)。マイナンバーカードのパスワード・暗証番号を変更することも有効です。また、身に覚えのない行政手続きや金融機関からの連絡に注意し、不審な問い合わせには応答しないでください。
Q. 本人確認書類の画像が漏えいした場合、どのようなリスクがありますか? A. パスポート・運転免許証・マイナンバーカードの画像は、フィンテックサービス・証券口座・携帯電話の本人確認手続きに悪用される可能性があります。特に携帯電話のSIMスワッピング攻撃(自分の電話番号を攻撃者のSIMカードに移す攻撃)に利用されると、SMS認証を含む多くのサービスの2FAが突破されます。対象者は利用中の金融・証券・通信サービスの取引履歴を定期的に確認し、不審な登録変更がないかを監視してください。
Q. 「認証情報の窃取」はどのように防ぐことができますか? A. 認証情報窃取の主な経路はフィッシング・マルウェア(インフォスティーラー)・クレデンシャルスタッフィング(過去の漏えいリストを使ったリスト型攻撃)の3つです。防止策として、クラウドサービスの認証にMFA(多要素認証)を必ず設定する、認証情報をソースコードや設定ファイルに平文で書かない(シークレット管理ツールを使用する)、インフォスティーラー対策としてエンドポイントのEDRを導入する、そして定期的なパスワードの更新と複数サービスでの使い回しを避けることが有効です。
参考情報
- 株式会社ビジュアルアーツ公式発表「不正アクセスによる社内情報および個人情報漏えいの可能性に関するお知らせとお詫び」(2026年6月4日)
- 関連:CAMPFIREのGitHub PAT流出を起点にしたクラウド環境不正アクセス——類似の認証情報起点の侵害パターン
- 関連:不正アクセスとは・手口・種類・対策
- 関連:サイバー攻撃・情報漏えい最新事例まとめ2026
関連記事
シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約10万人の個人情報漏洩の可能性
シャープが「COCORO STORE」と「ヘルシオデリ」の不正アクセスについての調査報告書を発表
ユニバーサルミュージック、ECサイト(ユニバーサルミュージックストア)への不正アクセスで310万5,585件の個人情報流出を確認
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
農林水産省、給与支払事務でメール誤送信 職員・家族4,571人分のマイナンバーなどの個人情報漏洩
YCC情報システムへのランサムウェアによるサイバー攻撃のまとめ-被害組織・漏洩件数を随時更新【2026年4月】
藤倉コンポジットのメールアカウントへ不正アクセス-メール本文が漏洩の可能性
山形市委託のYCC情報システム、ランサムウェア攻撃で約50万件・マイナンバーを含む個人情報が漏洩の恐れ-9組織以上に波及した攻撃の起点【2026年4月】
ホソカワミクロン、サイバー攻撃の最終報-ランサムウェア グループEverestの犯行声明とクラウド経由で個人情報漏洩
