エン株式会社は6月5日、同社が運営する転職情報サービス「ミドルの転職」で外部からの不正アクセスが発生したと発表した。リスト型アカウントハッキングにより、5月26日から6月2日にかけて会員情報ページに対する不正ログインが行われ、ログイン総数は2,503件にのぼった可能性があるという。同社は警察への通報と個人情報保護委員会への報告を済ませ、対象ユーザーのパスワードをリセットした。
3行要約
見出し
何が起きた:転職サイト「ミドルの転職」が外部から不正ログインを受け、会員情報ページへのログイン総数2,503件分が不正にアクセスされた可能性がある。
影響:会員情報ページが閲覧された恐れ。履歴書改ざんや企業側管理画面への侵入、他サービスへの波及は確認されていない。
対応:攻撃元IPを遮断し、対象者と非対象者の双方でパスワードを強制リセット。警察と個人情報保護委員会に報告した。
わかっていること/わかっていないこと
わかっていること
不正ログインを検知したのは2026年6月2日。攻撃が確認されたのは5月26日から6月2日までの期間で、会員情報ページへの不正ログインの総数は2,503件にのぼる。攻撃手法はリスト型アカウントハッキングで、外部で入手したと思われるIDとパスワードが使われた。パスワードはハッシュ化して保管されており、社内からのID・パスワード流出は確認されていない。履歴書など登録情報の改ざん、企業側管理画面への侵入、他の自社サービスへの同種被害は確認されていないという。
わかっていないこと
攻撃に使われたID・パスワードリストの入手経路や攻撃者像は明らかにされていない。ログイン総数2,503件の内訳、実際に影響を受けたユニークなアカウント数、閲覧された情報の具体的な項目、二次被害の有無は公表されていない。送信元IPアドレス群の規模や国・地域、侵入経路の詳細な技術情報も開示されていない。
6月2日に検知、同日攻撃元IPを遮断
同社の発表によると、2026年6月2日、「ミドルの転職」のWebサーバーで不正なログインを検知した。社内調査の結果、5月26日から6月2日にかけて、第三者が外部から不正に取得したとみられるメールアドレスとパスワードを用い、会員情報ページに不正ログインしていた可能性が判明した。
同日中に攻撃元IPアドレス群からの通信をブロックし、セキュリティ対策を強化したという。所轄警察署への通報・相談と、個人情報保護委員会への報告も済ませた。
パスワードはハッシュ化、社内流出は否定
同社は、ユーザーのパスワードを復元不可能な文字列に変換するハッシュ化処理で管理しており、社内からのID・パスワード流出は確認されていないとしている。攻撃者が用いたID・パスワードは、他のサービスなどから漏えいしたものをリスト化して使い回したものとみられる。
履歴書をはじめとする登録情報の改ざんは確認されておらず、求人を出す企業側の管理画面への不正ログインや改ざんも確認されていないという。「ミドルの転職」以外の同社サービスでも、同様の不正ログインは発生していないとしている。
全会員でパスワード強制リセット
同社は、不正ログインの対象となったユーザーのパスワードをリセットした。さらに被害拡大を防ぐため、対象外のユーザーについてもシステムによる一括リセットを実施。次回ログイン時にパスワード再設定を求める運用に切り替え、対象者には個別にメールで通知している。
6月5日にはユーザー向け相談窓口(info@mid-tenshoku.com)を設置した。
リスト型攻撃の典型例
リスト型アカウントハッキングは、他サイトから流出したID・パスワードの組み合わせを別のサイトで試す攻撃手法だ。複数サイトでパスワードを使い回しているユーザーが標的になりやすい。近年、日本国内でも会員制サービスを狙った同種の攻撃が相次いでおり、転職情報サービスのように履歴書や職務経歴といった機微な個人情報を扱うプラットフォームでは、被害が深刻化しやすい。
パスワードがハッシュ化されていてもリスト型攻撃は防げない。ユーザー側でパスワードの使い回しを避け、サービス側で多要素認証や異常検知などの追加防御を組み合わせる対策が求められる。
タイムライン
2026年5月26日 不正ログインの試行が始まる(同社調査による推定開始日)
2026年6月2日 Webサーバーで不正なログインを検知。同日中に攻撃元IPアドレス群からの通信を遮断し、セキュリティ対策を強化。所轄警察署へ通報・相談、個人情報保護委員会へ報告
2026年6月5日 ユーザー向け相談窓口を設置。ニュースリリースで公表