MaaS Car会員情報、委託先経由で漏えいの恐れ 再委託先の日本テレネットがランサム被害
カーシェアリング「MaaS Car」を運営するモビリティプラットフォーム株式会社は4月14日、業務委託先であるユーピーアール株式会社の再委託先・日本テレネット株式会社が3月9日にランサムウェア攻撃を受け、MaaS Car会員の氏名や電話番号などが第三者に閲覧された可能性があると発表した。クレジットカード情報や運転免許証情報は当該サーバー上に保存されておらず、流出の恐れはないとしている。
3行要約
見出し
何が起きた:コールセンター業務の再委託先・日本テレネットのサーバーがランサム攻撃を受け、MaaS Car会員情報が漏えいした可能性が判明した。
影響:2024年5月9日から2026年3月8日までの期間に会員専用フリーダイヤルへ電話した会員、およびMaaS Carを利用した会員の一部の氏名・電話番号・対応履歴が対象。
対応:同社はユーピーアール、日本テレネットとともに調査を継続し、対象会員には順次連絡するとしている。
わかっていること/わかっていないこと
わかっていること
再委託先の日本テレネットが3月9日にランサムウェア型のサイバー攻撃を受けたこと。当該サーバーにコールセンターの対応履歴が保管されていたこと。漏えいの恐れがある項目は氏名、電話番号、対応履歴の3種類であること。クレジットカード情報および運転免許証情報は当該サーバーに保存しておらず、今回の事象による流出はないこと。
わかっていないこと
漏えいが確定した件数および対象会員の正確な人数。侵入経路など攻撃の詳細。不正取得や二次被害の有無(現時点では確認されていない)。
経緯 当初は「漏えいなし」の報告
同社によると、3月9日に日本テレネットでシステム障害が発生し、ユーピーアールは当初3月19日時点で「不正アクセスを受けたサーバーと当社の委託業務関連データは別サーバーで管理されているため、漏えいはない」とモビリティプラットフォームに報告していた。
しかし、その後の調査を経て、4月13日になって「委託業務関連データが漏えいした可能性がある」との新たな報告を受けたという。約1カ月で評価が一転した形だ。
漏えいの恐れがある情報と対象期間
同社が公表した漏えいの可能性がある情報は、対象期間中に会員専用フリーダイヤルへ問い合わせた会員、およびMaaS Carを利用したことのある会員の一部の「氏名」「電話番号」「対応履歴」の3項目。対象期間は2024年5月9日から2026年3月8日までの約1年10カ月にわたる。
現時点で情報の不正取得や悪用といった二次被害は確認されていないという。
決済・身分証明情報は対象外
クレジットカード情報や運転免許証といった決済・本人確認に関わる重要情報は、日本テレネットの当該サーバー内に保存されておらず、今回の事象による流出は発生しないとしている。
原因 ランサムウェア攻撃が発端
同社は原因について、日本テレネットが受けたランサムウェア型サイバー攻撃により同社内のサーバーへ外部から不正アクセスが行われた可能性があると説明する。当該サーバー内にMaaS Carのコールセンター業務に関する委託データの一部が保管されていたため、漏えいの可能性につながった。
会員への注意喚起
同社は会員に対し、現時点で本件に起因する被害は確認されていないとしつつも、身に覚えのない不審な連絡があった場合には注意するよう呼びかけている。問い合わせは「info@maascar.jp」(MaaS Car事務局)で受け付けるとしている。
背景 委託・再委託を通じたサプライチェーンの脆弱性
今回の事案は、サービス事業者(モビリティプラットフォーム)、業務委託先(ユーピーアール)、その再委託先(日本テレネット)という多段構造の末端が侵害され、最終的な利用者の個人情報に波及した典型的なサプライチェーン型インシデントの構図だ。委託元は再委託先の管理状況を直接把握しづらく、第1報から正確な被害範囲を掴むまでに時間を要する傾向がある。
タイムライン
2026年3月9日:日本テレネットのサーバーがランサムウェア型サイバー攻撃を受ける
2026年3月19日:ユーピーアールからモビリティプラットフォームへ「委託業務関連データの漏えいはない」と第1報
2026年4月13日:ユーピーアールから「委託業務関連データが漏えいした可能性がある」と新たな報告
2026年4月14日:モビリティプラットフォームが公式サイトで公表
関連記事
NEW ユーピーアール、委託先ランサム被害で会員情報漏えいのおそれ カーシェ…
NEW MaaS Car会員の個人情報漏えいか—再委託先へのランサムウェア攻…
NEW 穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダ…
NEW ECカートシステム「たまごリピート」に不正アクセス、約3.5万人の個…
NEW 介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニ…
NEW 不正アクセス、マルウェア埋め込みを確認のセカイモン サービス停止の理…
NEW ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9…
穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
NEW ニッポンレンタカーの委託先、ランサムウェア被害 カーシェア会員の氏名…
NEW 歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか …
NEW 委託先へのランサムウェア攻撃で個人情報漏えいの可能性 福祉用具レンタ…
NEW UPSIDERにサプライチェーン攻撃 — OSS経由で不正アクセス、…
NEW ワシントンホテル株式会社、ランサムウェア感染の第3報 全端末にEDR…
NEW 不動産管理会社にランサムウェア攻撃、入居者・保証人らの個人情報が漏え…
NEW 美容クリニックにランサムウェア攻撃、患者369人分の個人情報が不正取…
NEW 村田製作所、不正アクセスで顧客・取引先に関する情報および従業員の個人…
カテゴリ:セキュリティニュース
タグ:クレジットカード情報漏洩,サプライチェーン攻撃,ランサムウェア,不正アクセス,個人情報漏洩,委託先,脆弱性
スマートホーム市場、2032年に1710億ドル超へ拡大予測 – IoT・AIが牽引しつつセキュリティリスクも課題
歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか ホワイトエッセンス