不動産大手のFJネクストホールディングス(東京)は5月1日、グループ会社が賃貸仲介で利用する外部クラウドサービス「いえらぶCLOUD」への不正アクセスにより、部屋探しをした顧客情報の一部が実際に外部へ流出したと発表した。同サービスを運営する株式会社いえらぶGROUPから4月30日付で受領した報告書で確認されたという。流出件数は明らかにされていない。氏名や住所、年収など機微度の高い情報を含む幅広い項目が対象となる。
3行要約
見出し
何が起きた/FJネクストHDのグループ会社が利用する「いえらぶCLOUD」へ第三者が不正アクセスし、賃貸ポータル経由で部屋探しをした顧客情報の一部が流出したことが確定した。
影響/流出した可能性があるのは氏名、住所、電話番号、年収、家族構成など。クレジットカード情報、要配慮個人情報、マイナンバーの流出は確認されていない。
対応/対象顧客にはいえらぶ社が順次個別に案内する。連絡先不明者には公表をもって通知に代える方針だ。問い合わせは同社専用窓口(0120-962-963)が受け付ける。
わかっていること/わかっていないこと
わかっていること
・第三者による不正アクセスとデータ取得が「いえらぶCLOUD」で確認された/・FJネクストHDのグループ会社経由で部屋探しをした顧客情報の一部が流出した/・流出した可能性のある項目は氏名、メールアドレス、電話番号、住所、家族構成、性別、年齢、生年月日、職業、年収、希望条件など入力情報、および顧客とのやり取りの履歴/・クレジットカード情報、要配慮個人情報、マイナンバー情報の流出は確認されていない/・いえらぶ社の公表によれば不正アクセスの発生日は2026年4月5日、検知・遮断は翌4月6日/・原因は「システムにおける脆弱性」および「インフォスティーラー等を用いてクライアントのアカウント情報を窃取していた可能性が高い」と説明されている/・問い合わせ窓口はいえらぶ社が一元化して対応する。
わかっていないこと
・流出件数および対象人数/・悪用された具体的な脆弱性の内容と侵入の詳細手順/・インフォスティーラーに感染した端末や経路の特定状況/・攻撃の継続時間と影響範囲の詳細/・攻撃者の特定状況/・流出データの第三者による悪用有無/・FJネクストHDグループとして影響を受けた具体的な事業会社の範囲。
続報で「流出の可能性」から「流出確認」へ
FJネクストHDは4月24日、グループ会社が利用する「いえらぶCLOUD」で不正アクセスとデータ取得が確認されたとする第一報を公表した。当時はいえらぶ社からの4月23日付報告書を踏まえ、顧客情報流出の「可能性」にとどめていた。
今回の続報では、4月30日付で受領した新たな報告書に基づき、外部賃貸ポータルサイトや同社グループ会社を通じて部屋探しをした顧客情報の一部が、実際に外部へ流出したと位置づけを改めた。被害が「可能性」から「確認」へと一段重い段階に進んだ形だ。
住所・年収など機微情報が対象
流出した可能性のある項目は、氏名、メールアドレス、電話番号、住所、家族構成、性別、年齢、生年月日、職業、年収、希望条件等の入力情報、ならびに顧客とのやり取りの一部の履歴とされる。賃貸物件の内見・契約に向けた入力情報が幅広く含まれる構図で、住居や収入水準など生活実態を推察できるデータが流出した形となる。
一方、決済情報や差別につながり得るセンシティブ情報は流出が確認されていない。同社は「クレジットカード情報、要配慮個人情報、マイナンバー情報の流出は確認されていない」としている。
発生は4月5日、原因は脆弱性とアカウント窃取
いえらぶ社の第二報によれば、不正アクセスは2026年4月5日に発生し、翌4月6日に検知・遮断されたとされる。原因についてはシステム上の脆弱性に加え、インフォスティーラー(情報窃取型マルウェア)等を通じてクライアント側のアカウント情報が窃取された可能性が高いと説明されている。SaaS本体の脆弱性と、利用企業側端末からの認証情報流出が組み合わさった攻撃シナリオが想定される構図だ。ただし、悪用された脆弱性の具体的内容や侵入の詳細手順、攻撃の継続時間などは現時点で公表されていない。
個別連絡はいえらぶ社経由で実施
対象顧客への個別連絡は、システム運営元のいえらぶ社が順次行う。連絡先不明などで個別通知が難しい場合は、両社の公表をもって案内に代える。問い合わせは「いえらぶ社専用窓口」(フリーダイヤル0120-962-963、平日9時45分~19時)に集約された。第一報時点で案内されていた050番号から、続報ではフリーダイヤルへ切り替えられている。
SaaS経由の二次的影響、不動産業界に波及
「いえらぶCLOUD」は不動産仲介業者向けの業務統合SaaSとして広く採用されており、賃貸仲介の現場で物件管理から顧客対応までを担うクラウドサービスだ。今回のように運営元への不正アクセスが、利用企業側の顧客情報流出に直結する構図は、SaaSサプライチェーン経由の典型的な二次被害に当たる。
FJネクストHDは「ガーラ」シリーズなどの分譲・賃貸マンション事業を手がける東証プライム上場の不動産グループ。同社は今回のケースについて自社が直接攻撃を受けたわけではないものの、利用先のクラウド側で発生した事故に伴い、グループ会社の顧客情報が影響を受ける形となった。同様に「いえらぶCLOUD」を利用する不動産事業者でも、今後追加の公表が続く可能性がある。
タイムライン
2026年4月5日
「いえらぶCLOUD」に対する第三者による不正アクセスが発生(いえらぶ社第二報による)。
2026年4月6日
いえらぶ社が不正アクセスを検知し、遮断対応を実施。
2026年4月23日
いえらぶ社からFJネクストHDへ初回報告書を提出。グループ会社経由で部屋探しをした顧客情報の一部に流出の可能性があることを伝達。
2026年4月24日
FJネクストHDが第一報を自社サイトで公表。「いえらぶCLOUD」への第三者による不正アクセスとデータ取得を明らかにする。
2026年4月30日
いえらぶ社からFJネクストHDへ続報の報告書を提出。顧客情報の一部流出が確認されたことを伝達。
2026年5月1日
FJネクストHDが続報を公表。流出が確認された情報項目と問い合わせ窓口(0120-962-963)を案内。対象顧客への個別連絡をいえらぶ社経由で順次実施する方針を示した。