セキュリティニュース

穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用

東証スタンダード上場の不動産会社・穴吹興産株式会社(香川県高松市)は2026年4月3日、同年2月3日に発生したランサムウェア攻撃に関する第4報を発表した。一部の個人情報および社内情報が外部に漏洩した事実は第2報(2026年2月12日)で「一部の情報資産の漏洩が確認」、第3報(2026年3月11日)で「個人情報を含む一部の情報が外部に漏洩していた事実を新たに確認」として既に公表されており、第4報では漏洩の可能性が否定できない個人情報の具体的なカテゴリ(不動産取引顧客・採用候補者・役員および従業員)が新たに明示された。ダークウェブ上のリークサイトに同社関連とみられる情報が掲載されていることが、外部専門機関の調査で判明している。

3行要約

【何が起きた】2026年2月3日、穴吹興産グループのシステムにランサムウェアが展開され、複数サーバーのファイルが暗号化された。

【影響】一部の個人情報および社内情報の漏洩が確認済み。不動産取引顧客・採用候補者・役職員ら3区分の個人情報(氏名・住所・生年月日等)については漏洩の可能性が否定できない状態と公表されているが、具体的な件数・範囲は調査中。

【対応】発覚後、即時ネットワーク遮断を実施。警察・個人情報保護委員会等へ報告し、外部専門機関によるフォレンジック調査が継続中。

わかっていること/わかっていないこと

わかっていること

・侵入経路は同社通信機器の脆弱性を悪用した不正アクセスと特定されている。

・攻撃者は侵入後、業務時間外を中心にリモートデスクトップ等を利用して複数サーバーへのログインを繰り返し、管理者権限を奪取。ネットワーク全体に侵入範囲を拡大したうえでランサムウェアを展開した。

・ダークウェブ上のリークサイトに同社関連とみられる情報の掲載が確認されており、一部の個人情報および社内情報の漏洩事実が確認済みである。

・第4報で新たに公表された漏洩の可能性が否定できない個人情報のカテゴリは、不動産取引に関する顧客情報(氏名・住所・電話番号等)、中途採用候補者情報(氏名・住所・職務経歴・生年月日等)、役員・従業員・元従業員情報(氏名・住所・電話番号・生年月日・異動履歴等)の3区分。いずれも漏洩の可能性ベースであり、内容・件数・範囲の詳細は引き続き調査中。

・クレジットカード情報は同社が保有しておらず、漏洩対象に含まれない。

・不動産投資クラウドファンディング「JOINTアルファ」会員情報も対象外とされている。

・二次被害(情報悪用による実害)は本発表時点で未確認。

・同社の営業活動は事案発生当初より継続しており、業績への影響は軽微と見込まれている。

わかっていないこと

・暗号化された情報が多く、漏洩した個人情報の具体的な件数・範囲は現時点で不明。

・漏洩情報の内容詳細については引き続き調査・確認中。

・攻撃者グループの帰属・正体は公表されていない。

攻撃の手口 横展開でネットワーク全体を掌握

外部専門機関による調査で判明した攻撃の手順は、標的型ランサムウェア攻撃の典型的な手口と一致する。攻撃者はまず、同社が運用する通信機器の脆弱性を突いて社内ネットワークへの初期侵入に成功した。その後、業務時間外を狙ってリモートデスクトップなどのリモートアクセス機能を悪用しながら複数のサーバーへのログインを試みた。管理者権限を不正に奪取した後、侵入範囲をネットワーク全体へと広げ、最終的に複数のサーバーにランサムウェアを展開してファイルを暗号化した。ダークウェブへのデータ公開は「二重脅迫」と呼ばれる手口で、身代金要求と情報漏洩の両面で被害者に圧力をかける近年の主流手法だ。

漏洩が否定できない個人情報の範囲

同社が現時点で漏洩の可能性が否定できないとした個人情報は3区分にわたる。第1に、不動産に関する商談・取引に係る顧客情報の一部で、氏名・住所・電話番号などが含まれる。第2に、中途社員採用における候補者情報の一部で、氏名・住所のほか職務経歴・生年月日といった採用プロセス特有の機微情報も対象となっている。第3に、役員・従業員・元従業員の情報の一部で、氏名・住所・電話番号・生年月日・異動履歴等が含まれる。なお、これら3区分はいずれも「漏洩の可能性が否定できない」と公表されているものであり、漏洩事実が個別に確定しているわけではない。

同社は既に個人情報が特定できた対象者に対して個別通知を実施しているとしている。今後、新たな漏洩が確認された場合も個別に連絡するとしており、個人情報保護法に基づく対応を継続する方針だ。

再発防止 オンプレミスからクラウドネイティブへ全面移行

同社は再発防止策として、既存インフラを全面刷新する方針を示した。オンプレミス環境からクラウドネイティブ基盤への移行によりシステムおよびネットワーク構成を根本から再構築するとしている。あわせて、ゼロトラストアーキテクチャおよびID管理基盤の導入など先進的なセキュリティ技術の実装を、実績ある専門事業者と連携しながら推進するとした。外部専門業者による継続的な検証と、リスク管理体制・全社内部統制の強化を軸としたセキュリティガバナンス体制の再構築にも取り組むとしている。

二次被害への注意喚起

同社は漏洩情報の悪用を利用したフィッシング攻撃を警戒するよう呼びかけている。同社またはグループ各社を名乗った不審なメール・電話が届く可能性があるとして、電話やメールのみで振込先の変更や金銭の支払いを要求することは一切ないと明言した。不審な連絡を受けた際はメールの添付ファイルを開かず、リンクをクリックしないよう求めている。問い合わせ窓口(フリーダイヤル:0120-216-008、受付時間:平日9:00〜17:00)を設置しているとしている。

穴吹興産について

穴吹興産は香川県高松市に本社を置く不動産会社で、東京証券取引所スタンダード市場に上場(コード番号8928)している。分譲マンション「アルファ」シリーズの開発・販売をはじめ、不動産仲介・賃貸管理・リフォームなど多岐にわたる事業を展開する。不動産投資クラウドファンディング「JOINTアルファ」も運営している。

タイムライン

【2026年2月3日(火)】システム監視によりランサムウェア攻撃による異常を検知。暗号化被害を確認し、対象機器を社内ネットワークおよびインターネットから即時遮断。

【2026年2月3日以降】警察・個人情報保護委員会・地方整備局を含む関係当局へ報告。外部専門機関によるフォレンジック調査を開始。

【2026年2月12日】第2報にて「一部の情報資産の漏洩が確認」として情報漏洩の事実を初公表。

【2026年3月11日】第3報にて「個人情報を含む一部の情報が外部に漏洩していた事実を新たに確認」として個人情報漏洩を公表。

【調査継続中】外部専門機関がダークウェブ上のリークサイトに同社関連とみられる情報の掲載を確認。侵入経路(通信機器の脆弱性悪用)を特定。

【2026年4月3日】第4報として、漏洩の可能性が否定できない個人情報の具体的カテゴリ(顧客・採用候補者・役職員の3区分)を公式発表。

情報源:「情報流出に関するお知らせとお詫び(ランサムウェア被害発生のお知らせ(第4報))」穴吹興産株式会社(2026年4月3日)https://www.anabuki.ne.jp/cms_upload/news/429/20260403_higaihassei4.pdf

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,,,,,,,,