キャリアデザインセンターの女の転職type、リスト型攻撃による個人情報漏洩の痕跡は確認されず|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月22日更新日時: 2026年06月22日

女性向け転職サイト『女の転職type』を運営する株式会社キャリアデザインセンターは2026年6月19日、公式サイトで「転職サイト『女の転職type』における不正アクセス発生に関する調査結果のご報告」を公表しました。

当サイトが既報した通り、本件は2026年5月26〜28日に『女の転職type』スマートフォンアプリで発生したリスト型アカウントハッキングで、不正ログイン試行1,141,828件のうち38,442件（ユニークユーザー18,253名）への不正ログインが確認され、一部の会員情報ページが閲覧されたおそれがあるとして2026年5月30日に第一報が公表されていました。

今回の続報では、第一報以降に実施してきた外部専門機関によるフォレンジック調査が完了したことが報告され、「外部専門機関とのフォレンジック調査の結果、当社内調査の調査内容との相違は認められませんでした」「現時点においても個人情報が流出した事跡および二次被害の事実は確認されておりません」という結論が示されました。

同社はあわせて、不審通信元からのアクセス遮断・監視強化、認証方式の強化、セキュリティ監視の検知ルール拡充、運用プロセスの強化という4つの再発防止策を発表しています。本記事では今回の調査結果の内容・第一報からの経緯・他の転職サービスへの同時期攻撃との関連性を整理して解説します。

サマリー

公表日：2026年6月19日（調査結果報告）
発表元：株式会社キャリアデザインセンター（『女の転職type』運営）
第一報：2026年5月30日（当サイト既報）
事案発生日：2026年5月26〜28日
攻撃手法：リスト型アカウントハッキング（他サービスから流出したと推測されるID・パスワードリストを使用）
不正ログイン試行回数：1,141,828件
不正ログイン成功：38,442件（ユニークユーザー18,253名）
今回の調査結果（最重要ポイント）：
- 外部専門機関によるフォレンジック調査が完了
- 社内調査の内容との相違は認められず
- 個人情報が流出した事跡は確認されていない
- 二次被害の事実も確認されていない
再発防止策（4項目）：
1. 今回不正アクセスを受けた特定システムへの不審通信元からのアクセス遮断・監視強化
2. 不正ログイン・なりすまし防止を目的とした認証方式の強化
3. サイバー攻撃の早期発見・迅速対応のためのセキュリティ監視の対象範囲と検知ルールの拡充
4. 安定したセキュリティ運用実現のための運用プロセスの強化
問い合わせ窓口：[email protected]

1 第一報からの経緯
2 社内調査との相違なし
3 なぜ「情報流出の事跡なし」と「不正ログイン38,442件」が両立するのか
4 再発防止策の内容—4つの柱
5 同時期に発生した他の転職サービスへの攻撃との関連
6 利用者が今すぐ確認すべきこと
7 FAQ
8 参考情報

第一報からの経緯

当サイトの既報を踏まえ、事案の全体像を時系列で整理します。

日付	出来事
2026年5月26〜28日	『女の転職type』スマートフォンアプリにリスト型アカウントハッキングが発生
2026年5月30日	キャリアデザインセンターが第一報を公表。不正ログイン試行1,141,828件・成功38,442件（18,253名）を確認。外部からのアクセス遮断・全会員強制ログアウト・対象者パスワード初期化を実施。個人情報保護委員会への報告完了
（調査期間）	外部専門機関による詳細な原因調査（フォレンジック調査）を実施
2026年6月19日	フォレンジック調査完了の報告。社内調査との相違なし。情報流出事跡・二次被害ともに確認されず

第一報の公表から今回の調査完了報告まで約3週間で、外部専門機関による独立した検証が完了し、社内の初期調査結果が裏付けられた形となりました。

社内調査との相違なし

今回の報告で最も重要なポイントは、外部専門機関によるフォレンジック調査の結果が社内調査の内容と一致したという点です。これは以下の2つの意味を持ちます。

①第一報の内容の信頼性が独立した第三者によって裏付けられた：第一報で示された「不正ログイン試行1,141,828件・成功38,442件」という規模や、「会員情報ページの一部が閲覧された可能性」という影響範囲の評価が、外部の専門的な調査によっても覆らなかったことを意味します。

②楽観的な見立てが追加調査でも崩れなかった：不正アクセス事案では、初期調査時点では把握できなかった被害の拡大が、詳細なフォレンジック調査の過程で新たに判明するケースも少なくありません。今回はそうした「想定よりも深刻な事実の発覚」がなく、当初の評価が維持されたという点で、利用者にとっては安心材料となる結果です。

当サイトの既報で解説した通り、本事案は「同社内からのID・パスワード漏えいが確認されていない」点が重要であり、これは『女の転職type』のシステムそのものが侵害された痕跡がないことを意味していました。今回の最終的な調査結果も、この評価を維持する内容となっています。

なぜ「情報流出の事跡なし」と「不正ログイン38,442件」が両立するのか

一見すると矛盾するように見えるこの2つの事実ですが、不正アクセスの技術的な構造を理解すると整合性が取れます。

「不正ログインが成功した」ことは、攻撃者が正規のログイン認証を突破して会員情報ページにアクセスできる状態になったことを意味します。

一方「情報流出の事跡が確認されていない」とは、実際にその閲覧可能な情報が外部のサーバーへ転送（持ち出し）された痕跡がログ上で確認されていないことを意味します。

つまり「ドアの鍵は開けられたが、家の中から物が持ち出された証拠は見つからなかった」という状態に近く、不正アクセス自体は成立したものの、その後の情報窃取行為までは確認できていないという評価です。ただし、これは「漏洩していないことが証明された」というよりも「漏洩した証拠が見つからなかった」という消極的な確認であり、油断は禁物です。

再発防止策の内容—4つの柱

キャリアデザインセンターが公表した再発防止策は以下の4項目です。

再発防止策	内容
①アクセス遮断・監視強化	今回不正アクセスを受けた特定システムに対する不審通信元からのアクセス遮断、監視強化
②認証方式の強化	不正ログインやなりすましの防止を目的とした認証方式の強化
③検知ルールの拡充	サイバー攻撃の早期発見と迅速な対応のためのセキュリティ監視の対象範囲と検知ルールの拡充
④運用プロセスの強化	安定したセキュリティ運用の実現のためのセキュリティ管理に関する運用プロセスの強化

当サイトの既報で指摘した通り、本事案はスマートフォンアプリのモバイルAPIエンドポイントが標的にされた点が特徴でした。Webブラウザ経由のアクセスと比較してモバイルAPIはIPベースのレート制限・Bot Detection機能が手薄になりがちであり、攻撃者が優先的にモバイルAPIを狙う傾向が知られています。今回発表された「②認証方式の強化」「③検知ルールの拡充」は、まさにこうしたモバイルAPI特有の脆弱性に対応する措置と位置づけられます。

同時期に発生した他の転職サービスへの攻撃との関連

当サイトが別記事で報じた通り、エン株式会社が運営する「ミドルの転職」でも同時期にリスト型攻撃（不正ログイン2,503件）が発生しており、『女の転職type』とミドルの転職の被害開始日が完全に一致していたことが確認されています。これは転職サービス業界全体を標的とした、ある程度組織的・集中的な攻撃キャンペーンが存在していた可能性を示唆しています。

転職サイトは氏名・連絡先・職務経歴・希望年収といった機微な個人情報を大量に保有する性質上、リスト型攻撃の標的として継続的に狙われやすい業界です。同業他社も含め、モバイルAPIのセキュリティ強化・認証方式の見直しを優先課題として取り組む必要性が改めて浮き彫りになっています。