関彰商事子会社で個人情報漏洩、最大1万6000件 - サーバー不正アクセス被害の実態と対策

2025年10月10日、エネルギー事業を展開する関彰商事が衝撃的な発表を行いました。関連会社のセキショウキャリアプラスがサーバーへの不正アクセスを受け、顧客の個人情報が最大1万6000件も漏洩する可能性があると公表したのです。

この事件は、9月10日に日本人顧客からの問い合わせで発覚したということですが、約1ヶ月という期間を経ての発表となりました。現在のところ具体的な被害報告はないものの、漏洩した情報には顧客の氏名などの重要な個人情報が含まれているとされています。

事件の概要と発覚の経緯

今回の情報漏洩事件の詳細を時系列で見てみましょう：

注目すべきは、顧客からの問い合わせで初めて事態が発覚したという点です。これは、攻撃者が相当長期間にわたってシステムに侵入していた可能性を示唆しており、企業のセキュリティ監視体制に課題があったことを物語っています。

人材派遣業界は、豊富な個人情報を扱う性質上、サイバー犯罪者にとって魅力的なターゲットとなっています。セキショウキャリアプラスのような企業が保有する情報には以下が含まれます：

これらの情報は、なりすまし詐欺や標的型攻撃の足がかりとして悪用される可能性が高く、被害は個人レベルから企業レベルまで広範囲に及ぶ恐れがあります。

私がフォレンジック調査を行った事例の中で、特に中小企業で目立つのが以下のようなパターンです：

1. 脆弱性を放置したWebサーバーへの侵入
古いソフトウェアやパッチ未適用のシステムから侵入されるケースが約6割を占めます。攻撃者は公開されている脆弱性情報を基に、自動化ツールで標的を探し回っています。

2. 弱いパスワードによる不正ログイン
「admin/123456」や「会社名+年度」といった推測しやすいパスワードでの侵入事例も後を絶ちません。

3. 内部からの情報持ち出し
USBメモリやクラウドサービスを使った従業員による意図的・非意図的な情報漏洩も増加傾向にあります。

関彰商事の事例を教訓に、中小企業が今日から始められる対策をご紹介します：

まずは自社のWebサイトやサーバーにどのような脆弱性があるかを把握することが重要です。Webサイト脆弱性診断サービスを利用することで、専門知識がなくても現状のリスクを客観視できます。

従業員が使用するパソコンには必ずアンチウイルスソフトを導入し、リアルタイムでの脅威検知を行いましょう。最近のアンチウイルスソフトは、従来のウイルス検知に加えて、ランサムウェアやフィッシング攻撃にも対応しています。

テレワークが普及した現在、VPN の利用は必須となっています。社外から社内システムにアクセスする際は、必ず信頼できるVPN経由で接続するよう従業員に徹底させましょう。

万が一、自社で情報漏洩が発生した場合の対応手順も把握しておくことが重要です：

「うちは小さな会社だから狙われない」という考えは危険です。実際のフォレンジック調査では、従業員10名以下の企業でも深刻な被害を受けている事例が多数あります。

攻撃者は企業規模ではなく、「侵入しやすさ」と「価値のある情報の有無」で標的を選びます。人材派遣業のセキショウキャリアプラスが標的となったのも、豊富な個人情報を保有していたことが主な理由でしょう。

今回の関彰商事関連会社での情報漏洩事件は、どの企業でも起こりうる身近な脅威であることを改めて示しています。被害が発生してから対応するのではなく、事前の備えこそが企業を守る最良の方法です。

特に個人情報を扱う事業者の皆様は、今すぐにでもセキュリティ対策の見直しを行うことをお勧めします。Webサイト脆弱性診断サービスによる定期的なチェック、アンチウイルスソフトによる日常的な脅威対策、そしてVPN による安全な通信環境の確保は、現代のビジネスにおいて必要不可欠な投資と考えるべきでしょう。