アルプスアルパインの外部VPNに不正アクセス 従業員ら個人情報の閲覧可能性
電子部品メーカーのアルプスアルパイン株式会社は2026年4月27日、社内システムへのアクセス管理に使う外部VPNシステムが不正アクセスを受け、役員や従業員らの個人情報が外部の攻撃者に閲覧された可能性があると発表した。委託先事業者経由で同社サーバーへの侵入痕跡も確認されたが、情報が実際に流出した事実は現時点で確認されていないという。同社は当該システムを停止し、外部専門機関と調査を進めている。
3行要約
見出し
外部VPNシステムが不正アクセスを受け、社内システムに登録された役員・従業員らの個人情報が外部から閲覧された恐れがあることが判明した。
影響を受ける可能性があるのは同社およびグループ会社の役員、従業員(退職者を含む)、委託先企業の従業員の一部で、ログインIDや氏名、会社メールアドレスなどが対象となる。
同社は当該システムの利用停止とセキュリティ設定の見直しを行い、外部専門機関による技術調査と社内システムのパスワード変更通知を実施した。
わかっていること/わかっていないこと
わかっていること
委託先事業者の外部VPNシステムが不正アクセスを受け、その後の調査で同社サーバーにも侵入痕跡が確認されたこと。
パスワードは暗号化された状態で管理されており、現時点で取得された事実は確認されていないこと。
クレジットカード情報、銀行口座情報、マイナンバーなどの機微情報は対象システムに保存されていなかったこと。
顧客情報や取引先情報の不正アクセス・閲覧・流出の事実は現時点で確認されていないこと。
本件に起因する個人情報の不正利用などの二次被害は現時点で確認されていないこと。
わかっていないこと
個人情報が実際に外部から閲覧されたか否か。同社は「可能性を完全には否定できない」としており、断定には至っていない。
不正アクセスの具体的な経路や手法、攻撃者像。原因調査は外部専門機関と連携して継続している。
影響を受ける可能性のある人数や、グループ会社別の内訳。プレスリリースでは具体的な件数は示されていない。
閲覧された恐れがある情報
同社が公表した対象情報は、ログインID(社員番号を一部含む)、氏名、会社メールアドレス、役職、部門名、システムIDの6項目だ。同社およびグループ会社の役員、従業員(退職者を含む)、委託先企業の従業員の一部が対象となる。
パスワードは暗号化して管理されており、不正アクセスによって取得された事実は現時点で確認されていないという。クレジットカード情報、銀行口座情報、マイナンバーといった機微な個人情報は当該システムに保存されていないことを同社は確認している。
委託先事業者経由で発覚
同社によると、2026年3月18日に社内システムの保守管理などを委託する事業者から、外部VPNシステムにおいて外部からの不正アクセスの痕跡が確認された旨の連絡を受けた。
委託先事業者がその後実施した調査の結果、4月13日になって同社のサーバーにも不正アクセスが行われていたことが判明。社内システムへアクセスするために登録されていた個人情報が、外部から閲覧された可能性を完全には否定できない状況であることが分かったという。
システム停止し外部専門機関と調査
同社は本事案を把握後、当該システムの利用停止とセキュリティ設定の見直しを実施した。あわせて外部専門機関による技術的調査を進めるとともに、関係機関への相談・報告を行ったとしている。
従業員(退職者を含む)に対しては、念のため社内システムのパスワードを変更するよう既に通知済みだという。
再発防止策とユーザーへの注意喚起
同社は再発防止に向け、VPNシステムを含むシステム全体のセキュリティ対策と監視体制の強化、個人情報の取り扱いおよび管理ルールの再点検、社内システム利用者への情報セキュリティ教育の継続実施を順次進める方針を示した。
同時に、同社関係者になりすました不審メールや連絡などへの注意を呼び掛けている。新たに公表すべき事実が判明した場合には、速やかに公表するとしている。
背景
VPN(仮想私設網)機器・サービスを侵入の入口とする不正アクセス事案は、近年、製造業を中心に国内で繰り返し発生している。リモートアクセスの利便性と引き換えに、認証情報の窃取や脆弱性悪用が攻撃面として浮上しやすく、委託先経由のサプライチェーン型侵入も顕在化している。本件は外部VPNを起点に、保守委託先の経路を通じて社内サーバーまで到達した可能性が指摘されている。
事案発生から公表までの経過
2026年3月18日
委託先事業者から、外部VPNシステムにおいて外部の者による不正アクセスの痕跡が確認された旨の連絡を受領。
2026年4月13日
委託先事業者の調査により、同社サーバーへの不正アクセスと、登録された個人情報が外部から閲覧された可能性が判明。
2026年4月27日
同社がプレスリリースで事案を公表。社内システムのパスワード変更通知などの対応状況を明らかにした。
関連記事
NEW 介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニ…
ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9…
穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
NEW 大和リース、Dシェア専用フリーダイヤルへ電話した人の個人情報に漏えい…
NEW 穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダ…
NEW 歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか …
NEW MaaS Car会員情報、委託先経由で漏えいの恐れ 再委託先の日本テ…
NEW ECカートシステム「たまごリピート」に不正アクセス、約3.5万人の個…
委託先へのランサムウェア攻撃で個人情報漏えいの可能性 福祉用具レンタ…
不正アクセス、マルウェア埋め込みを確認のセカイモン サービス停止の理…
不動産管理会社にランサムウェア攻撃、入居者・保証人らの個人情報が漏え…
美容サロン向け予約管理システム「BeautyMerit」に不正アクセ…
NEW ボンフォーム ECサイトに不正アクセス カード情報3,463件流出か
NEW 2りんかんイエローハットに不正アクセス、会員情報漏えいの可能性 アプ…
NEW ユーピーアール、委託先ランサム被害で会員情報漏えいのおそれ カーシェ…
MaaS Car会員の個人情報漏えいか—再委託先へのランサムウェア攻…
カテゴリ:セキュリティニュース
タグ:VPN,クレジットカード情報漏洩,サプライチェーン攻撃,マイナンバー,メールセキュリティ,不正アクセス,個人情報漏洩,委託先,暗号化,脆弱性,金融
沖縄総合事務局のFileZenに不正アクセス、個人情報1.5万人分漏えいか
株式会社日本信用情報機構、不正アクセス事案で訂正——ログインパスワードの漏洩は否定