ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9,501名分の個人情報漏えい疑い
ホテルオークラ福岡(福岡市博多区)は2026年4月10日、人事関連業務を委託していた協力会社・株式会社システムニシツウが運用するクラウドサーバーが第三者による不正アクセスを受け、ランサムウェアに感染したと発表した。電子データが暗号化され、2011年1月以降に在籍した現・元従業員計9,501名分の個人情報が外部に漏えいした疑いがあるとしている。個人情報保護委員会への速報提出と博多警察署への通報はすでに完了しており、外部専門企業の協力を得て原因と影響範囲の調査を継続中だ。
3行要約
見出し
【何が起きた】委託先企業が運用する人事系クラウドサーバーにランサムウェアが感染し、電子データが暗号化された。
【影響】2011年1月以降に在籍した現・元従業員9,501名の氏名・住所・給与口座・家族情報を含む個人情報が漏えいした疑い。
【対応】個人情報保護委員会への速報提出と博多警察署への通報を完了。対象者への個別連絡を順次実施し、退職者向けの問い合わせ窓口を設置した。
わかっていること/わかっていないこと
わかっていること
感染確認日は2026年3月12日。株式会社システムニシツウが運用する人事系クラウドサーバーがランサムウェアに感染し、電子データが暗号化された。漏えい疑いの対象は9,501名(2011年1月以降の在籍者、退職者を含む)。対象となる情報は、氏名・性別・住所・生年月日・家族構成(氏名・生年月日を含む)・電話番号・給与口座・学歴・従業員番号・所属・役職。個人情報保護委員会への速報提出および博多警察署への通報は完了済み。現時点で二次被害は確認されていない。人事系サーバー専用のシステムであり、他の業務システムへの波及は現時点で確認されていない。
わかっていないこと
不正アクセスの侵入経路は調査中で、現時点で明確な結論は出ていない。データが実際に外部へ持ち出されたかどうかも確定しておらず、「漏えいした疑い」の段階にとどまる。被害の全容と最終的な影響範囲も確定していない。
感染確認から約1カ月後に公表
発表によれば、クラウドサーバーへの感染が確認されたのは2026年3月12日だ。協力会社の株式会社システムニシツウが不正アクセスの経路と被害規模の特定を進めてきたが、4月10日の公表時点でも原因の究明には至っていないとしている。感染確認から公表まで約29日が経過しているが、公式発表ではその理由は明示されていない。外部専門企業と連携しての調査が継続されていたことから、この間に確認作業が行われていた可能性がある。
給与口座・家族情報も対象、機微度の高い情報が含まれる
今回漏えいが疑われる情報の範囲は広い。氏名・住所・生年月日といった基本的な個人情報に加え、給与振込口座や家族の氏名・生年月日まで含まれる。金融詐欺や標的型フィッシング攻撃に悪用されるリスクが高く、特に退職者については今回の公式発表が実質的な初通知となる。ホテルオークラ福岡は対象者への個別連絡を順次進めているとし、退職者向けにはメールによる専用問い合わせ窓口を設けた。
人事系クラウド委託が侵害経路に、再発防止策は限定的
被害を受けたサーバーは、人事業務専用のクラウドシステム上に構築されたものだという。ホテルオークラ福岡は同システムには人事関係のサーバーのみが設置されており、他の業務システムへの影響は確認されていないと説明している。再発防止策としてはネットワーク環境の構築時におけるチェック体制の見直しを挙げているが、具体的な内容は明かされていない。今回の事案は、クラウド上の委託先サーバーを介したサプライチェーンリスクの典型例ともいえ、業務システムを外部委託する事業者にとっても改めてセキュリティ管理体制の見直しが問われる事案となった。
タイムライン
2026年3月12日 クラウドサーバーへのランサムウェア感染を検知・確認
2026年3月12日以降 協力会社(株式会社システムニシツウ)が不正アクセス経路の調査を開始
2026年4月10日より前 個人情報保護委員会へ速報(報告書)を提出
2026年4月10日より前 博多警察署へ通報
2026年4月10日 公式発表・退職者向け問い合わせ窓口を設置
継続中 外部専門企業と連携し、侵入経路・影響範囲を調査中
関連記事
NEW 穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
NEW 美容クリニックにランサムウェア攻撃、患者369人分の個人情報が不正取…
NEW メディカ出版にランサムウェア攻撃—個人情報流出の有無を調査中、二次被…
NEW UPSIDERにサプライチェーン攻撃 — OSS経由で不正アクセス、…
NEW いえらぶGROUP、クラウドサービスに不正アクセス 社外関係者情報の…
NEW 不動産管理会社にランサムウェア攻撃、入居者・保証人らの個人情報が漏え…
NEW YCC情報システムにランサムウェア攻撃、情報窃取の可能性否定できず―…
NEW 村田製作所、不正アクセスで顧客・取引先に関する情報および従業員の個人…
NEW 美容サロン向け予約管理システム「BeautyMerit」に不正アクセ…
NEW 委託先へのランサムウェア攻撃で個人情報漏洩の可能性—株式会社ヤマシタ…
NEW 不正アクセス、マルウェア埋め込みを確認のセカイモン サービス停止の理…
NEW ワシントンホテル株式会社、ランサムウェア感染の第3報 全端末にEDR…
NEW CAMPFIREのGitHubアカウントに不正アクセス—ソースコード…
NEW EXIDEAの従業員Chatworkアカウントに不正アクセス フィッ…
NEW 阿波銀行、OAシステムのテスト環境に不正アクセス — 顧客情報約2.…
NEW マツダ、タイ調達管理システムへの不正アクセスで692件の個人情報が流…
カテゴリ:セキュリティニュース
タグ:クラウドサービス,サプライチェーン攻撃,フィッシング,メールセキュリティ,ランサムウェア,不正アクセス,個人情報漏洩,委託先,暗号化,金融
CoWorker、警視庁のサイバー捜査研修で生成AI活用の最前線を講義 – AI時代の攻撃高度化に対応
オカムラのタイ子会社に不正アクセス—インターネット上に情報流出の疑い