シーエーシー 寄附金申請サービスで管理者権限を不正使用 流出の痕跡なしも「おそれ」として報告
システムインテグレーター大手のシーエーシー(東京都中央区)は13日、同社が提供する寄附金Web申請クラウドサービス「Academic Support Navi」への不正アクセスに関する第2報を公表した。外部専門機関の調査で、第三者により管理者権限が不正に使用された事実を確認したという。現時点で個人情報や機密情報、申請データの外部流出を示す具体的な痕跡は確認されていないが、同社は「個人データの漏洩が生じたおそれがある事態」として個人情報保護委員会に報告した。
「Academic Support Navi」 への不正アクセスに関する調査状況のご報告(第2報)(株式会社シーエーシー公式サイト)より引用
【3行要約】
何が起きた:寄附金申請サービス「Academic Support Navi」で管理者権限が不正使用された
影響:現時点で外部流出を示す具体的な痕跡は確認されていないが、流出のおそれがあると判断
対応:サービスを一時停止。個人情報保護委員会とプライバシーマーク審査機関に報告。再発防止策を検討中
わかっていること・わかっていないこと
見出し
✓ わかっていること
- 第三者により管理者権限が不正に使用された事実を確認
- サーバー内の解析および各種管理ログの精査を実施
- 個人情報、機密情報、申請データの外部流出を示す具体的な痕跡は確認されていない
- 「個人データの漏洩が生じたおそれがある事態」として個人情報保護委員会に報告
- プライバシーマークの審査機関である一般社団法人情報サービス産業協会(JISA)にも報告
- 2025年12月25日に不正アクセスを検知(第1報の情報より)
- 2026年1月5日にサービスを一時停止し第1報を公表
- 2026年1月13日に第2報を公表
- 外部専門機関による調査を実施中
- サービスは一時停止中
? わかっていないこと
- 不正アクセスの具体的な手法
- 管理者権限が不正使用された期間
- 不正使用により行われた具体的な操作内容
- 攻撃者の特定
- サービスの再開時期
- 影響を受けた利用者数
- 保管されていた個人情報や申請データの件数
管理者権限の不正使用を確認
シーエーシーによると、外部専門機関の調査において、第三者により管理者権限が不正に使用された事実が確認されたという。
一方、サーバー内の解析および各種管理ログの精査の結果、個人情報、機密情報、申請データの外部流出を示す具体的な痕跡は確認されていないとしている。
「おそれがある事態」として報告
同社は現時点で流出の痕跡は確認されていないものの、本件を「個人データの漏洩が生じたおそれがある事態」として重く受け止めたという。
個人情報保護法に基づき個人情報保護委員会へ報告を行うとともに、プライバシーマークの審査機関である一般社団法人情報サービス産業協会(JISA)へも報告を行ったとしている。
同社は引き続き、専門的な知見に基づき、情報の保護状況について厳密な確認を進めるとしている。
外部機関の評価を経て再開へ
同社は現在、判明した事実に基づき、外部専門機関の助言を得ながら、再発防止に向けた対策およびサービスの再開準備を進めているという。
今後、外部機関による客観的な安全性の診断・評価等を経て、顧客に安全を確信して利用してもらえる体制が整い次第、具体的な再開時期等について改めてウェブサイトで知らせるとしている。
12月25日に不正アクセスを検知
同社は2026年1月5日に公表した第1報で、寄附金Web申請クラウドサービス「Academic Support Navi」において、2025年12月25日に不正アクセスが確認されたため、サービスを一時停止したと発表していた。
第1報の時点では、外部専門機関による調査を実施中で、詳細が判明次第改めて報告するとしていた。
寄附金申請のクラウドサービス
「Academic Support Navi」は、シーエーシーが提供する寄附金Web申請クラウドサービス。教育機関などが寄附金の申請や管理を行うためのシステムと見られる。
システムインテグレーター大手
シーエーシーは、CAC Holdingsグループの中核企業で、システムインテグレーション事業を手がける。金融、製薬・ライフサイエンス、製造業などの業界向けにシステム開発や運用サービスを提供している。
本社は東京都中央区日本橋箱崎町にある。
タイムライン
| 日付 | 出来事 |
|---|---|
| 時期不明 | 第三者により管理者権限が不正使用される |
| 2025年12月25日 | 不正アクセスを検知 |
| 2026年1月5日 | 「Academic Support Navi」サービスを一時停止。第1報を公表 |
| 調査期間 | 外部専門機関による調査を実施。サーバー内の解析および各種管理ログの精査 |
| 時期不明 | 個人情報保護委員会に報告 |
| 時期不明 | 一般社団法人情報サービス産業協会(JISA)に報告 |
| 2026年1月13日 | 第2報を公表。管理者権限の不正使用を確認したと発表 |
| 現在 | サービス一時停止中。外部専門機関の助言を得ながら再発防止策を検討。外部機関による安全性診断・評価後に再開予定 |
問い合わせ先
株式会社シーエーシー
お問い合わせ先URL:https://www.cac.co.jp/contact/
関連記事
NEW シーエーシー 寄附金申請サービスに不正アクセス 12月25日に検知し…
NEW スマレジ外部アプリから約13万6千件流出 「書類上手」で会員データ不…
NEW 田中屋本店 ペイメント改ざんでカード情報677件流出か 個人情報は5…
NEW 釜浅商店 スマレジ連携外部アプリから会員情報流出 氏名と電話番号が不…
NEW 「ラブキャラ診断64」を装う偽サイトに注意喚起、情報漏洩のリスクも
NEW 【週間まとめ】2026年1月第1週のサイバーセキュリティニュース ラ…
NEW カンバス ランサムウェア攻撃で中間報告 認証サーバに攻撃 顧客情報コ…
NEW ローレルバンクマシン AI-OCRサービスに不正アクセス 辞書攻撃で…
NEW サイクルヒーロー 外部アプリ不正アクセスで顧客情報流出 スマレジ連携…
NEW 東京都立大学 Googleアカウント不正アクセスで第2報 流出可能性…
NEW スマレジ 連携外部アプリベンダーから会員データ流出 スマレジ本体シス…
NEW 沖縄県立看護大学 教務支援システムにランサムウェア攻撃 学生情報の漏…
NEW ownCloud 認証情報窃取インシデントを公表 プラットフォーム脆…
NEW Google Chrome デスクトップ版とAndroid版で緊急ア…
NEW 興和江守 ランサムウェア感染でシステム障害 受注・出荷業務に遅滞 メ…
NEW 原子力規制庁職員が中国でスマホ紛失 核セキュリティー担当の非公表職員…
カテゴリ:セキュリティニュース
タグ:シーエーシー
スマレジ外部アプリから約13万6千件流出 「書類上手」で会員データ不正取得
AI時代のランサムウェア、EDRとバックアップだけでは防げないか マジセミがウェビナー開催