セキュリティニュース

ゼットン運営「forty three」で旧メールシステムに不正アクセス—1万8千件超の個人情報が流出の可能性

飲食店を全国展開する株式会社ゼットンは2026年3月27日、岐阜県岐阜市の運営店舗「forty three」で過去に使用していたメールシステムが外部から不正にアクセスを受け、顧客・取引先・従業員を含む合計1万8,553件の個人情報が外部に流出した可能性があると公表した。決済情報やマイナンバーは対象外とされているが、氏名・住所・電話番号・メールアドレス・アレルギー情報・予約内容などが漏えいした恐れがある。

事件の経緯

発端は2025年9月18日にさかのぼる。「forty three」で使用していたPC端末1台がマルウェアに感染し、そのアカウントのログイン認証情報が攻撃者に窃取された。侵害対象となったのは該当店舗の2アカウントであった。その後、窃取された認証情報を悪用した海外からの不正ログインが同年11月27日から継続的に行われ、第三者への不審なメール送信にも利用されていたことが後の調査で明らかになった。

問題が発覚したのは2026年2月18日。店舗従業員が当該アカウントの受信箱に不審なメールを発見し、即座に報告した。会社は速やかに該当端末をネットワークから切り離し、その後、外部のセキュリティ専門機関によるデジタル・フォレンジック調査を実施した。公表情報からは、マルウェア感染から少なくとも同日まで異常は把握されていなかったとみられる。

インシデント・タイムライン

日付 出来事
2025年9月18日 「forty three」使用のPC端末がマルウェアに感染。メールアカウント(2アカウント)の認証情報が窃取される
2025年11月27日 窃取された認証情報を用いた海外からの不正ログインが開始。当該アカウントから不審メールが複数宛先へ送信される
2026年2月18日 店舗従業員が受信箱内の不審メールを発見・社内報告。端末を即時ネットワーク隔離し、その後、外部専門機関によるフォレンジック調査を実施
2026年2月〜3月 被害範囲の特定と原因究明を実施。個人情報保護委員会へ報告。旧メールシステムの全アカウントを停止・廃止
2026年3月27日 公式発表。対象者への個別通知(メールまたは郵送)を順次開始

流出の可能性がある情報と対象者

流出の恐れがある個人情報の件数は計1万8,553件。対象者の内訳は以下のとおりである。

  • 2018年6月〜2025年9月:予約サイトや直接メールを通じて「forty three」を予約した顧客、店舗または従業員とメールでやり取りした取引先、旧メールシステムを使用していた同社従業員
  • 2022年12月〜2025年9月:同店舗でパーティーを予約・参加予定だった顧客

漏えいした可能性がある情報の種別は、氏名・住所・電話番号・メールアドレス・アレルギー情報・予約内容等である。クレジットカードなどの決済情報およびマイナンバー情報は対象外と確認されており、現時点で情報が公開された事実は確認されていないとしている。

初動対応と再発防止策

同社は発覚後、端末の完全隔離と証拠保全を実施したほか、旧メールシステムの全ユーザーのパスワードリセットとアカウント停止、感染端末で使用していた関連サービスのパスワード変更を完了した。また、問題となった旧メールシステムを完全廃止し、グループ標準のセキュリティソリューションの導入と従業員教育の再徹底を進めているとしている。

なお、本インシデントは既に運用を終えていた旧システムが起点であり、現行システムおよびグループ各社のシステムへの影響はないと説明している。

不審メールへの注意喚起

同社は、流出した可能性のある宛先へ当該アカウントからメールが送信されていたことを確認していることから、不審メールを受信した場合はURLリンクのクリックや添付ファイルの開封を行わず、メールごと削除するよう呼びかけている。

問い合わせ窓口

本件に関する問い合わせは、専用フリーダイヤル(0120-125-377、受付時間:平日10:00〜17:00)または公式サイトのお問い合わせフォームで受け付けている。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,,,