セキュリティニュース

ガーラ湯沢 不正アクセスで最大1,518人の氏名流出の可能性 ネットワークルーターに設定不備 クレジットカード情報の漏洩なし

ガーラ湯沢スキー場を運営する株式会社ガーラ湯沢(新潟県南魚沼郡湯沢町)は12日、同社の一部サーバーが第三者による不正アクセスを受け、顧客の個人情報(最大1,518人分)が外部に流出した可能性があると発表した。現時点で外部へ持ち出された形跡は確認されていないが、調査中だという。流出した可能性のある情報は氏名で、クレジットカード情報については外部への漏洩は確認されていないとしている。原因は、業務用システムの外部アクセス用に設置していたネットワークルーターの設定において、セキュリティ上の不備があったことだという。同社は情報漏洩の可能性のある顧客に対して、すでに個別に連絡を行っている。当該システムについては、攻撃を受けたサーバーを使用せず必要なセキュリティ対策を行ったうえで、一部機能を除き2月7日より利用を再開したという。本事象については2月7日に個人情報保護委員会に報告済みだとしている。

弊社サーバーへの不正アクセスによりお客さま情報が漏えいした可能性について(株式会社ガーラ湯沢公式、2026年2月12日)より引用

【3行要約】

何が起きた:ガーラ湯沢の一部サーバーが不正アクセスを受け、最大1,518人分の氏名が流出した可能性。外部持ち出しの形跡は未確認

影響:氏名のみが対象。クレジットカード情報の漏洩は確認されず

対応:原因はネットワークルーターの設定不備。2月7日にシステム利用再開、個人情報保護委員会に報告済み

わかっていること・わかっていないこと

✓ わかっていること

  • 一部サーバーが第三者による不正アクセスを受けた
  • 最大1,518人分の個人情報(氏名)が流出した可能性
  • 現時点で外部へ持ち出された形跡は確認されていない(調査中)
  • クレジットカード情報については外部への漏洩は確認されていない
  • 原因:業務用システムの外部アクセス用ネットワークルーターの設定にセキュリティ上の不備
  • 情報漏洩の可能性のある顧客に個別連絡済み
  • 攻撃を受けたサーバーを使用せず、セキュリティ対策を実施
  • 一部機能を除き2月7日よりシステム利用再開
  • 2月7日に個人情報保護委員会に報告済み

? わかっていないこと

  • 不正アクセスが発生した時期
  • 攻撃者の特定
  • 実際に外部へ持ち出されたかどうか(調査中)
  • 不正アクセスの具体的な手法
  • ネットワークルーターの設定不備の詳細
  • 対象顧客の属性(スクール会員、リフト券購入者など)

最大1,518人の氏名が流出の可能性 持ち出し形跡は未確認

ガーラ湯沢によると、同社の一部サーバーにおいて第三者による不正アクセスを受け、顧客の個人情報(最大1,518人分)が外部に流出した可能性があることが判明したという。

流出した可能性のある情報は氏名だ。現時点で外部へ持ち出された形跡は確認されていないが、調査中だとしている。

クレジットカード情報については、外部への漏洩は確認されていないという。

同社は情報漏洩の可能性のある顧客に対して、すでに個別に連絡を差し上げているとしている。

原因はネットワークルーターの設定不備

同社によると、原因は業務用システムの外部アクセス用に設置していたネットワークルーターの設定において、セキュリティ上の不備があったことだという。

外部からアクセス可能なルーターの設定に問題があったことで、第三者が侵入できる状態になっていたとみられる。

2月7日にシステム利用再開 個人情報保護委員会に報告済み

同社によると、当該システムについては、攻撃を受けたサーバーを使用せず必要なセキュリティ対策を行ったうえで、一部機能を除き2月7日より利用を再開したという。

本事象については、2月7日に個人情報保護委員会に報告済みだとしている。

再発防止策を実施

同社は、このたびの事態を厳粛に受け止め、今後の調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図るとしている。

不審な連絡に注意喚起

同社は顧客に対し、現時点で特別な対応をお願いするものではないとしながらも、以下のような不審な連絡には十分注意するよう呼びかけている。

  • 身に覚えのない電話や郵便物
  • 個人情報の確認を求める連絡
  • 金銭や手続き等を要求する不審な案内

ガーラ湯沢とは

株式会社ガーラ湯沢は、新潟県南魚沼郡湯沢町でガーラ湯沢スキー場を運営する企業だ。JR東日本グループに属し、上越新幹線のガーラ湯沢駅に直結したスキーリゾートとして知られている。

スキー・スノーボードのレンタル、スクール、レストラン、温泉・プール・サウナなどの施設を運営している。

ネットワークルーターの設定不備がリスクに

今回の事案は、外部アクセス用のネットワークルーターの設定に不備があったことが原因だ。業務用システムに外部からアクセスするための機器において、適切なセキュリティ設定が行われていなかった可能性がある。

ネットワーク機器の設定不備は、外部からの不正アクセスを許す要因となる。特に外部からアクセス可能な機器については、厳格なアクセス制御や認証の設定が重要だ。

幸いにも、流出した可能性のある情報は氏名のみで、クレジットカード情報などの決済情報の漏洩は確認されていない。また、外部への持ち出しの形跡も確認されていないという。被害は限定的だった可能性がある。

タイムライン

日付 出来事
時期不明 一部サーバーが第三者による不正アクセスを受ける
時期不明 不正アクセスを検知、調査開始
時期不明 最大1,518人分の氏名が流出した可能性を確認。情報漏洩の可能性のある顧客に個別連絡
2月7日 個人情報保護委員会に報告。攻撃を受けたサーバーを使用せず、セキュリティ対策を実施後、一部機能を除きシステム利用再開
2月12日 不正アクセスを公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,