セキュリティニュース

MaaS Car会員の個人情報漏えいか——再委託先へのランサムウェア攻撃、約1年10カ月分のコールセンター履歴が対象

カーシェアリングサービス「MaaS Car」を運営するモビリティプラットフォーム株式会社(埼玉県さいたま市)は2026年4月14日、コールセンター業務の再委託先である日本テレネット株式会社がランサムウェア型サイバー攻撃を受け、MaaS Car会員の氏名・電話番号・コールセンター対応履歴が第三者に閲覧可能な状態となっていた可能性があると発表した。対象期間は2024年5月9日から2026年3月8日までの約1年10カ月にわたる。

<重要>業務委託先に対する不正アクセスによる個人情報の漏えいの可能性に関するご報告とお詫び | カーシェアのMaaS Car
<重要>業務委託先に対する不正アクセスによる個人情報の漏えいの可能性に関するご報告とお詫び | カーシェアのMaaS Carより引用

3行要約

【何が起きた】MaaS Carのコールセンター再委託先・日本テレネットが2026年3月9日にランサムウェア攻撃を受け、会員の氏名・電話番号・対応履歴が漏えいした可能性がある。

【影響】2024年5月9日から2026年3月8日の期間に会員専用フリーダイヤルへ電話した方、またはMaaS Carを利用した会員の一部が対象。クレジットカード・運転免許証情報は別サーバー管理のため流出のおそれはないとしている。

【対応】モビリティプラットフォーム、ユーピーアール、日本テレネットの3社が共同で調査を継続中。個人情報漏えいの可能性があると確認され次第、当該会員へ順次連絡するとしている。

わかっていること/わかっていないこと

わかっていること

・攻撃日は2026年3月9日、攻撃手法はランサムウェア型サイバー攻撃

・漏えいのおそれがある情報は「氏名」「電話番号」「対応履歴」の3項目

・対象期間は2024年5月9日から2026年3月8日

・クレジットカード情報および運転免許証情報は当該サーバーに保存されておらず、流出のおそれなし

・現時点で情報の不正取得や二次被害の事実は確認されていない

・3月19日時点では「漏えいのおそれなし」との報告があり、4月13日に覆された

わかっていないこと

・具体的な被害会員数(調査中)

・ランサムウェアの具体的な侵入経路(調査中)

・実際にデータが外部へ持ち出されたか否か(現時点で漏えい「可能性」にとどまる)

・攻撃者・攻撃グループの詳細(未公表)

3社にまたがる委託構造——発覚まで約1カ月

今回の問題は、モビリティプラットフォームがコールセンター業務をユーピーアール株式会社に委託し、同社がさらに日本テレネット株式会社に再委託するという多層構造の中で発生した。直接攻撃を受けたのは再委託先の日本テレネットであり、同社のサーバーにMaaS Carのコールセンター業務データの一部が保管されていたという。

当初、ユーピーアールは「不正アクセスを受けたサーバーと委託業務関連データは別サーバーで管理されているため、漏えいのおそれはない」と報告していた。これは攻撃から10日後の3月19日のことだ。しかし、その後の詳細な調査で事実とは異なることが判明し、4月13日になって「委託業務関連データが漏えいしたおそれがある」との訂正報告がモビリティプラットフォームへ届いた。攻撃から漏えいの可能性把握まで、実に約1カ月を要した。

対象は2024年5月以降のコールセンター利用者

漏えいのおそれがある個人情報の対象期間は2024年5月9日から2026年3月8日。対象者は、この期間に会員専用フリーダイヤルへ電話した方、およびMaaS Carを利用したことのある会員の一部とされている。具体的な対象人数は現時点では公表されていない。

漏えいのおそれがある項目は「氏名」「電話番号」「対応履歴」の3種類だ。一方、クレジットカード情報や運転免許証といった決済・身分証明に関わる重要情報については、問題のサーバーに保存していなかったとしており、流出のおそれはないという。

初期報告が約1カ月後に覆る——サプライチェーンリスクが露呈

今回のインシデントで注目されるのは、初期の調査報告と最終的な事実確認に大きな乖離が生じた点だ。3月19日にユーピーアールが「漏えいのおそれはない」と報告した時点では、モビリティプラットフォームとしても対外的な発表に至らなかった。その後の再調査によって覆された4月13日の報告を受け、翌14日に公式発表へ踏み切ったとみられる。

委託先・再委託先を含むサプライチェーン上のセキュリティリスクが改めて浮き彫りになった形だ。3社が連携して被害範囲の特定と個人情報の確認作業を継続しており、個人情報漏えいの可能性があると確認され次第、当該会員に対して順次個別に連絡する方針だとしている。

会員へのお願いと問い合わせ先

モビリティプラットフォームは、心当たりのない不審な連絡があった場合には十分に注意するよう呼びかけている。本件に関する問い合わせは、MaaS Car事務局(info@maascar.jp)まで。最大4営業日での返信を目安としている。

インシデントタイムライン

2026年3月9日 ランサムウェア攻撃発生

日本テレネット株式会社のサーバーが外部からのランサムウェア型サイバー攻撃を受ける。同社内のサーバーにはMaaS Carのコールセンター業務データの一部が保管されていた。

2026年3月19日 初期調査報告(後に訂正)

ユーピーアールが「不正アクセスを受けたサーバーと委託業務関連データは別サーバー管理のため、漏えいのおそれはない」とモビリティプラットフォームへ報告。この時点では外部への公表には至らず。

2026年4月13日 漏えい可能性の確認・報告

さらなる調査の結果、「委託業務関連データが漏えいしたおそれがある」との訂正報告がユーピーアールからモビリティプラットフォームへ届く。攻撃から約1カ月後の事実判明となった。

2026年4月14日 公式発表

モビリティプラットフォーム株式会社が公式サイトにてインシデントの概要および対応状況を公表。3社による合同調査を継続中とした。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,,