セキュリティニュース

ジモティー 外部プログラムに不正コード混入 約11万6千件のデータにアクセス

地域情報サイト「ジモティー」を運営する株式会社ジモティー(東京都品川区)は20日、11月26日に検知した社内開発環境への不正アクセスに関する調査結果を公表した。自動ビルド環境で利用していた外部プログラムに不正なコードが混入したことが原因で、カテゴリー別問合せ実績の有無約11万6千件と従業員等の氏名・メールアドレス101名分が外部からアクセスされたことを確認したという。本番環境とは論理的に分離された開発環境への攻撃で、サービス運営に問題はない。同社は個人情報保護委員会への報告を完了し、再発防止策として外部プログラムの導入プロセスの安全化などを実施している。

弊社利用システムへの不正アクセスに関する調査結果のご報告(株式会社ジモティー、2026年1月20日)より引用

【3行要約】

何が起きた:ジモティーの社内開発環境に外部プログラム経由で不正コードが混入。約11万6千件のデータにアクセス

影響:カテゴリー別問合せ実績の有無11万5674件、従業員等の氏名・メールアドレス101名分が外部からアクセスされた

対応:外部プログラムの導入プロセス安全化、実行権限の最小化など再発防止策を実施。個人情報保護委員会に報告完了

わかっていること・わかっていないこと

✓ わかっていること

  • 2025年11月26日夕刻に不正アクセスの兆候を検知
  • 社内開発環境の一部が対象(本番環境とは論理的に分離)
  • 自動ビルド環境で利用していた外部プログラムに不正コードが混入したことが原因
  • 実際に外部からアクセスされた情報を確認:カテゴリー別問合せ実績の有無11万5674件、従業員等氏名・メールアドレス101名分
  • アクセスされた可能性がある情報:従業員等のID・アカウント名等111名分
  • 二次被害等の報告は確認されていない
  • 個人情報保護委員会への報告完了
  • 業績への影響は軽微

? わかっていないこと

  • 不正コードが混入した外部プログラムの具体的な名称
  • 攻撃者の特定
  • 不正コードの混入時期
  • 外部プログラム提供元の対応

11月26日夕刻に兆候検知 即座に遮断・隔離

ジモティーによると、2025年11月26日夕刻、同社が提供するサービスの本番環境とは論理的に分離された社内開発環境の一部において、不正アクセスの兆候を検知した。検知後、直ちにアクセス遮断および当該環境の隔離措置を講じるとともに、原因および影響範囲の特定に向けた詳細な調査を進めてきたという。

同社は12月5日に第1報を公表していた。

外部プログラムに不正コード混入 サプライチェーン攻撃か

調査の結果、本件は自動ビルド環境で利用していた外部プログラムに、不正なコードが混入したことに起因するものと判明した。これにより、当該環境内に保存されていた個人情報の一部が外部からアクセス可能な状態となり、実際に不正なアクセスが行われた事実を確認したという。

外部プログラムを経由した不正コードの混入は、いわゆるサプライチェーン攻撃の一種だ。開発環境で使用される外部ライブラリやツールに不正なコードを仕込むことで、それを利用する企業のシステムに侵入する手口が近年増加している。

カテゴリー別問合せ実績約11万6千件にアクセス

同社によると、外部から実際にアクセスされた個人情報は2種類ある。

第一に、カテゴリー別問合せ実績の有無11万5674件だ。これは、同社運営サービス「ジモティー」における売買の各カテゴリ(家具、家電、自転車など)への問合せ実績があるか否かを示すフラグ情報(TRUE or FALSE)だという。当該アクセスされた情報のみで個人が特定されるものではなく、また具体的な問い合わせ内容(メッセージ本文等)や日時等は含まれないとしている。なお、本情報はユーザーIDと紐づけられて管理されており、ユーザーIDはサービス利用者全員にランダムに振り分けられる符号で、サービス内にて既に公開されているものだという。

第二に、同社従業員、元従業員および開発業務に従事する社外協力者の氏名およびメールアドレス101名分がアクセスされた。

従業員等のID・アカウント名111名分はアクセスの可能性

外部からアクセスされた可能性がある個人情報として、同社従業員、元従業員111名分の以下情報が挙げられている。社内業務で利用していたサービスのID・アカウント名、社内業務で利用していた開発支援ツールの利用有無を示すフラグ情報だ。

一方、ユーザーのメールアドレス、ジモティーからの通知の受取可否の設定およびサービス内で公開されているID2名分については、アクセスされた可能性があったが、その後の調査によりアクセスが無いことが確認されたという。

対象者への連絡完了 二次被害は未確認

同社は、影響を受ける可能性のあるすべての顧客、従業員、社外協力社、取引先に個別に電子メール等で連絡を完了しているという。現時点において、本件に伴う情報の二次被害等の報告は確認されていないとしている。

外部プログラム導入プロセスを安全化 実行権限も最小化

同社は再発防止策として、技術的な対策とセキュリティ管理体制の再構築を実施している。

技術的な対策では、外部プログラムの導入プロセスの安全化を実施済みだという。外部プログラムの導入にあたり、意図しない自動更新を防止し、インストール時に付随するプログラムが自動実行される機能を制限した。また、万が一不正なプログラムが混入した場合でも被害を極小化できるよう、プログラムの実行権限を最小限に制限したという。

セキュリティ管理体制の再構築では、情報資産の重要度に応じた管理ルールの見直し、外部の専門的な知見の活用を含めた全社的なリスクアセスメントおよび改善計画の策定、経営層によるモニタリング体制の構築や全従業員に対するセキュリティ教育の拡充・見直しなどを行うとしている。

個人情報保護委員会に報告 業績への影響は軽微

同社は、本件が個人情報保護法に定める報告対象事案に該当することから、個人情報保護委員会への報告を完了している。

同社サービス「ジモティー」および「ジモティースポット」等の運営継続に問題はなく、本件が2025年度および2026年度の業績に及ぼす影響については軽微である見込みだという。

地域情報サイト「ジモティー」を運営

ジモティーは、地域の情報を扱うクラシファイドサイト「ジモティー」を運営している。不用品の譲渡、中古品売買、求人、イベント、地域情報などを扱う地域密着型のプラットフォームだ。また、リユース品を扱う実店舗「ジモティースポット」も展開している。

タイムライン

日付 出来事
時期不明 自動ビルド環境で利用していた外部プログラムに不正コードが混入
2025年11月26日夕刻 社内開発環境の一部で不正アクセスの兆候を検知
2025年11月26日(検知後) アクセス遮断および当該環境の隔離措置を実施
2025年11月26日以降 原因および影響範囲の特定に向けた詳細な調査開始
2025年12月5日 第1報を公表
調査期間中 全容解明および対象範囲の特定を完了。個人情報保護委員会への報告完了
調査期間中 影響を受ける可能性のある全ての顧客、従業員、社外協力社、取引先に個別連絡完了
2026年1月20日 調査結果および再発防止策を公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,