セキュリティニュース

ニッポンレンタカーの委託先、ランサムウェア被害 カーシェア会員の氏名・電話番号など漏えいか

ニッポンレンタカーサービスは17日、カーシェアリングサービスのコールセンター業務の再委託先である日本テレネットがランサムウェア攻撃を受け、会員の個人データが漏えいしたおそれがあると発表した。氏名や電話番号、対応履歴が対象で、同社は個人情報保護委員会に報告済みとしている。レンタカー会員への影響はない。

カーシェアリングサービスをご利用のお客さま:業務委託先に対する不正アクセスによる個人データ漏えいの可能性について
カーシェアリングサービスをご利用のお客さま:業務委託先に対する不正アクセスによる個人データ漏えいの可能性についてより引用

3行要約

何が起きた:カーシェア業務の再委託先・日本テレネットのサーバーが3月9日にランサムウェア攻撃を受け、ニッポンレンタカーが委託したコールセンター業務データも閲覧された可能性があるという。

影響:2024年5月9日から2026年3月9日までにカーシェア関連でコールセンターへ電話した会員の氏名・電話番号・対応履歴が漏えいしたおそれがある。クレジットカード情報や運転免許証情報はシステム上保存していないため対象外。

対応:同社は個人情報保護委員会へ報告し、対象会員の特定と個別連絡を進める。委託先・再委託先の監督強化と再発防止に努めるとしている。

わかっていること/わかっていないこと

わかっていること

攻撃は2026年3月9日に再委託先の日本テレネットで発生した。攻撃手法はランサムウェア型。影響を受けた可能性があるのは、カーシェアリングサービス会員のうち、2024年5月9日から2026年3月9日までの期間にコールセンターへ電話した利用者だ。漏えいしたおそれのある情報は氏名、電話番号、対応履歴。クレジットカード情報や運転免許証情報は日本テレネットのシステムに保存されない仕組みで、対象外という。個人情報保護委員会への報告は完了している。

わかっていないこと

対象となる会員数は公表されていない。実際に外部へ流出した事実は現時点で確認されておらず、不正利用も把握されていないという。侵入経路や攻撃グループ、暗号化・窃取されたデータの全容は、日本テレネットとユーピーアールを含めた調査が継続している段階だ。個別連絡の完了時期についても明示されていない。

委託・再委託の多層構造が焦点

今回の事案は、ニッポンレンタカーがコールセンター業務をユーピーアールへ委託し、ユーピーアールがさらに日本テレネットへ再委託していた多層構造のなかで発生した。攻撃を直接受けたのは再委託先の日本テレネットだが、委託元である同社の会員情報も影響を受けた形だ。

同社は「委託先および再委託先において委託情報の安全管理が図られるよう監督し、再発防止に努める」としている。近年、委託先や再委託先を経由した情報漏えいは相次いでおり、委託元の監督責任が改めて問われる構図となっている。

レンタカー会員は対象外

同社はカーシェアリングサービスの会員に限った事案であり、レンタカー会員の情報には影響がないと説明している。問い合わせは同社ウェブサイトのフォームで受け付ける。

発生から公表までのタイムライン

2026年3月9日:日本テレネットのサーバーがランサムウェア型サイバー攻撃を受ける(攻撃発生)

2026年4月13日:ニッポンレンタカーがユーピーアールから、コールセンター業務関連データの漏えいのおそれについて報告を受ける(検知・報告受領)

公表前:個人情報保護委員会へ報告(通報)

2026年4月17日:ニッポンレンタカーが自社ウェブサイトで公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,