いえらぶGROUPで個人情報流出の恐れ　インフォスティーラー悪用、顧客アカウント窃取か

不動産業界向けにITサービスを手掛けるいえらぶGROUPは4月30日、4月5日に発生したシステムへの不正アクセスをめぐる続報を公表した。外部の専門機関によるフォレンジック調査の結果、社内調査の内容と相違はなく、外部サイトでの流出が確認された情報との関連性が極めて高いと認められたという。攻撃者はインフォスティーラー（情報窃取型マルウェア）を用い、同社クライアントのアカウント情報を窃取していた可能性が高いとしている。

【第二報】当社のクラウドサービスへの不正アクセスに関する調査状況および今後の対応について｜株式会社いえらぶGROUPより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 侵入から公表までの経緯
4 流出した可能性のある情報
5 インフォスティーラー悪用が焦点
6 再発防止策
7 関係者への対応
8 インシデントのタイムライン

何が起きた：4月5日、悪意ある第三者による不正アクセスとシステムの脆弱性が発端となり、データ流出インシデントが発生した。

影響：氏名、メールアドレス、電話番号、住所、希望物件条件など、物件探しをした個人・法人とのやり取り履歴の一部が流出した恐れがある。クレジットカード情報、要配慮個人情報、マイナンバーの流出は確認されていない。

対応：4月8日に個人情報保護委員会と警察へ報告し、外部専門家による調査と再発防止対応を開始。多要素認証の導入やIP制限機能の無償化などを進める。

わかっていること／わかっていないこと

わかっていること

4月5日に不正アクセスとシステム脆弱性を起点とするデータ流出が発生した。

4月6日に異常アクセスを検知し、アクセス遮断および当該箇所の修正を実施した。

4月8日に個人情報保護委員会と警察に報告した。

外部サイトに流出していた情報との関連性が極めて高いと認められた。

攻撃者がインフォスティーラー等で同社クライアントのアカウント情報を窃取した可能性が高い。

クレジットカード情報、要配慮個人情報、マイナンバーの流出事実は確認されていない。

わかっていないこと

流出した可能性がある情報の件数や対象範囲の規模。

侵入経路の詳細および脆弱性の具体的な内容。

攻撃者の特定や帰属に関する情報。

二次被害の発生状況。

侵入から公表までの経緯

同社の説明によれば、4月5日に第三者による不正アクセスとシステムの脆弱性が起点となりインシデントが発生。翌6日に異常アクセスを検知して遮断と修正を行い、社内調査に着手した。8日には社内調査の結果として情報漏えいと外部サイトへの流出の恐れを認め、同日中に個人情報保護委員会と警察に報告。あわせて外部の専門家による調査と再発防止対応を始めたとしている。

今回の続報では、外部専門機関によるフォレンジック調査と外部サイト調査の結果、社内調査の内容との相違は認められず、外部サイトで確認された情報との関連性が極めて高いと判断されたと説明している。

流出した可能性のある情報

流出の可能性がある情報は、氏名、メールアドレス、電話番号、住所、希望物件条件のほか、物件探しを行った個人および法人とのやり取り履歴の一部だ。クレジットカード情報、要配慮個人情報、マイナンバー情報については流出事実が確認されていないという。具体的な件数や対象範囲については、今回の発表では明らかにされていない。

インフォスティーラー悪用が焦点

同社が公表した内容のうち、攻撃手法に関する記述は注目に値する。インフォスティーラーは感染端末からブラウザに保存された認証情報やセッションクッキーを窃取するマルウェアの総称で、近年は窃取された認証情報がアンダーグラウンド市場で売買され、二次的な侵入の起点となるケースが国内外で相次いでいる。同社は「攻撃者はインフォスティーラー等を用い当社クライアントのアカウント情報を窃取していた可能性が高い」としており、正規のクレデンシャルを足掛かりにシステムへ侵入された構図がうかがえる。

なお、不正アクセスの直接的な発端については「システムにおける脆弱性」も挙げられており、認証情報の窃取と脆弱性の双方が関与した複合的な侵害である可能性がある。

再発防止策

同社は第三者調査機関の提言を踏まえ、脆弱性の根本修正、多要素認証の導入、アクセス監視および遮断の強化、IP制限機能の無償化、従業員への情報セキュリティ教育の強化を進めるとしている。とくにIP制限機能の無償化は、クライアント側のアカウント乗っ取りリスクを軽減する措置と位置付けられる。

関係者への対応

問い合わせのある不動産会社へは担当者が順次対応中とし、対象となる個人へは個別に案内を行う。連絡先不明などにより個別通知が困難な場合は、今回の公表をもって案内に代えるという。同社は「心当たりのない電話やメール等」への注意を改めて呼びかけ、不審な連絡を受けた場合は問い合わせ窓口（フリーダイヤル0120-962-963、平日9:45～19:00）に連絡するよう求めている。

インシデントのタイムライン

2026年4月5日：不正アクセスとシステム脆弱性が発端となるデータ流出インシデントが発生。

2026年4月6日：異常アクセスを検知。アクセス遮断と該当箇所の修正、社内調査を開始。

2026年4月8日：個人情報保護委員会と警察に報告。外部専門家による調査と再発防止対応を開始（第一報公表）。

2026年4月30日：外部専門機関のフォレンジック調査結果を踏まえた続報を公表。