セキュリティニュース

日本コロムビア 不正アクセスで約3,300件の個人情報が閲覧された可能性 基礎年金番号も含む

音楽レーベル大手の日本コロムビア株式会社(東京)は2026年3月31日、2025年7月17日に同社サーバが不正アクセス被害を受けたことについて調査結果を公表した。調査の結果、役員・従業員・元従業員や業務委託先の担当者など計3,317件の個人情報が外部の第三者に閲覧された可能性が否定できないことが判明した。流出を直接示す痕跡は見つかっていないが、基礎年金番号を含む機微な情報が対象に含まれる。

【3行要約】

何が起きた:2025年7月17日、日本コロムビアのサーバが外部からの不正アクセスを受け、個人情報が閲覧された可能性が判明した

影響:役員・従業員・元従業員とその家族、関連会社・委託先担当者など合計3,317件の個人データが対象。基礎年金番号も含む

対応:外部アクセスを即時制限し個人情報保護委員会・警察に届出済み。外部専門家と検討の上、再発防止策を整備

わかっていること・わかっていないこと

✓ わかっていること

  • 2025年7月17日に不正アクセスを確認した
  • 攻撃者はネットワーク機器の脆弱性を悪用してサーバに侵入したとみられる
  • 閲覧された可能性がある個人情報は合計3,317件(4区分)
  • 基礎年金番号・住所・生年月日など機微な情報が対象に含まれる
  • 現時点で不正利用などの二次被害報告はない
  • 個人情報保護委員会および警察への報告・被害申告が完了している
  • 不正アクセス確認後、速やかに外部からのアクセスを制限した
  • 外部専門家と連携して原因調査および再発防止策を整備した

? わかっていないこと

  • 攻撃者の特定および実際のデータ取得・流出の有無(痕跡なし、だが否定もできない状態)
  • 悪用されたネットワーク機器の脆弱性の詳細
  • 再発防止策の具体的な内容

被害の全容 基礎年金番号も対象に

閲覧された可能性がある情報は4区分に分類される。最も件数が多いのは日本コロムビアの役員・従業員・元従業員およびその家族の人事情報で、3,093件にのぼる。対象となった情報項目は氏名、住所、電話番号、メールアドレス、生年月日に加え、基礎年金番号など人事情報の全部または一部だ。

次いで、株式会社フェイスおよび日本コロムビアグループ株式会社の役員・従業員・元従業員に関する情報が152件。氏名、社用メールアドレス、生年月日が対象となった。また、業務委託会社の代表者の氏名・インボイス番号が16件、人材派遣会社の担当者の氏名・電話番号が56件、それぞれ閲覧された可能性がある。

原因はネットワーク機器の脆弱性

同社の調査によると、外部の第三者がネットワーク機器に存在する脆弱性を利用し、そこを踏み台として社内サーバへの侵入を試みたとみられる。同社は不正アクセスを確認した後、直ちに外部からのアクセスを遮断するとともに、外部専門家の協力を得て原因と影響範囲の調査を進めてきた。

データの外部流出を直接示す痕跡は確認されていないが、閲覧された可能性は排除できないとして、個人情報保護委員会など関係機関への報告と、警察への被害申告を行っている。

再発防止策を整備

同社は従来からネットワーク機器経由のアクセスに多要素認証を必須化するなどの対策を講じていたとしている。今回の事態を受けて外部専門家と改めて検討を行い、再発防止策をすでに整備した。今後も継続的に改善を図るとしている。

タイムライン

日付 出来事
2025年7月17日 日本コロムビアのサーバへの不正アクセスを確認。外部からのアクセスを制限し、外部専門家による調査を開始
2025年8月8日 被害に関する第一報を公表
2025年8月8日以降 個人情報保護委員会等の関係機関へ報告、警察へ被害申告
2026年3月31日 調査結果と再発防止策について公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ: