セキュリティニュース

歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか ホワイトエッセンス

ホワイトエッセンス株式会社は4月17日、同社が運営する歯科衛生士転職サイト「メグリー」が第三者による不正アクセスを受け、データベース内の個人データが窃取された可能性が高いと発表した。氏名や住所、連絡先、転職希望条件など多岐にわたる項目が対象とみられる。クレジットカード情報は含まれず、現時点で二次被害は確認されていないという。

お知らせ詳細|ホワイトエッセンス株式会社
お知らせ詳細|ホワイトエッセンス株式会社より引用

3行要約

・歯科衛生士転職サイト「メグリー」のサーバが2月18日に不正アクセスを受け、データベース内の個人データが窃取された可能性が高い。
・漏えいのおそれがある項目は氏名、顔写真、生年月日、住所、メールアドレス、職歴、転職希望条件など。クレジットカード情報は含まれない。
・同社はサイトを停止し、攻撃者のIPブロック、データベース接続情報やAWS認証情報の変更、アクセス制御強化などを実施した。

わかっていること/わかっていないこと

わかっていること

・不正アクセスの発覚は2026年2月18日。
・本サイトの運用サーバ上のデータベース内データが窃取された可能性が高い。
・クレジットカード情報は漏えい対象に含まれない。
・LINE IDと本サイトのログインパスワードはハッシュ化されており、平文のまま把握できる状態での漏えいはないとしている。
・原因はWebアプリケーション開発を効率化するツールの脆弱性を悪用したものと推測されている。

わかっていないこと

・漏えいのおそれがある人数や件数は公表されていない。
・攻撃者の正体や具体的な侵入経路の詳細は明らかにされていない。
・脆弱性が悪用されたとされるツールの具体名は示されていない。
・二次被害は「現時点で未確認」としているが、否定できない状況だ。

漏えいの可能性がある項目

同社によると、漏えいのおそれがある個人データは、氏名、歯科医院名(事業者名)、顔写真、生年月日、住所、最寄り駅、メールアドレス、電話番号、LINE ID、本サイトのログインパスワード、学歴(学校名・学部・卒業年)、勤続期間や雇用条件を含む職歴、転職希望条件、求人活動指標、求人企業とのマッチング履歴、ポイントの購入・使用履歴、問合せ内容に及ぶ。

同社はクレジットカード情報等は含まれないと強調。LINE IDとログインパスワードについては「ハッシュ関数による暗号化を施しており、平文のまま攻撃者が把握できる状態で漏えいしたおそれはない」と説明している。

原因はWebアプリ開発ツールの脆弱性か

同社は漏えいの原因について、本サイトの開発で用いていた「Webアプリケーションの開発を効率化するためのツール」の脆弱性を悪用されたものと推測している。具体的なツール名や脆弱性の詳細は明らかにしていない。

二次被害は現時点で未確認

同社によれば、漏えいデータの公開サイトでの掲載やSNSでの拡散など、本件に起因する不正利用等の二次被害は現時点で確認されていない。同社を騙る不審メール等が届いた場合は、開封せず、本文中のURLにアクセスしないよう利用者に呼びかけている。

対応:サービス停止と認証情報の刷新

同社は不正アクセス発覚後、本サイトのサービスを停止し、攻撃者のIPアドレスをブロックした。その後、追加的な漏えい防止のため、データベースへの接続情報(パスワード)やAWSの認証情報の変更、アクセス制御の強化を段階的に実施したとしている。サービスは必要な対応・対策が完了するまで停止を継続する方針だ。

同社は警察および外部専門機関と連携して調査を進めており、外部弁護士とも相談しながら再発防止策に取り組むとしている。調査の進展や新事実が判明した場合は、個別連絡またはホームページで報告する考えだ。

タイムライン

2026年2月18日 不正アクセスの発覚

本サイトのサーバが攻撃者から不正アクセスを受けたことが発覚。

2026年3月6日 第一報の公表

同社ウェブサイトで第一報を公表。サイトのサービス停止、不審ファイル削除、システムの脆弱性対策を実施。

2026年4月17日 調査結果の公表(第二報)

調査結果を踏まえ、データベース内のデータが窃取された可能性が高いと発表。漏えいのおそれがある項目を公表した。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,,