ユーピーアール、委託先ランサム被害で会員情報漏えいのおそれ カーシェア利用者の氏名・電話番号など
ユーピーアール株式会社は4月13日、運営するカーシェアリングサービスのコールセンター業務委託先である日本テレネット株式会社がランサムウェア型サイバー攻撃を受け、会員の個人情報が漏えいしたおそれがあると公表した。同社は当初、委託業務データは別サーバーで管理されているため漏えいの可能性はないと報告を受けていたが、4月8日になって新たな調査結果を受け取り、方針を転換した。
3行要約
見出し
【何が起きた】カーシェア事業の委託先・日本テレネットがランサムウェア攻撃を受け、ユーピーアールの会員情報が閲覧されたおそれが判明した。
【影響】会員専用フリーダイヤルへ電話した会員、および対象期間にMaaS Carを利用した会員の一部が対象。氏名、電話番号、対応履歴などが含まれ、クレジットカード情報や運転免許証情報は対象外という。
【対応】両社で漏えいの可能性がある会員と情報の特定を急ぎ、確認でき次第、対象者へ順次連絡する。
わかっていること/わかっていないこと
わかっていること
・攻撃手法はランサムウェア型サイバー攻撃である。
・委託先サーバーへの不正アクセスが発生したのは2026年3月9日である。
・漏えいのおそれがある対象者は、会員専用フリーダイヤルへ電話した会員に加え、対象期間にMaaS Carを利用した会員の一部も含まれる。
・漏えいのおそれがある情報は会員の「氏名」「電話番号」「対応履歴」などである。
・クレジットカード情報、運転免許証情報は委託先に保存されない仕組みのため対象外である。
・現時点で個人情報が悪用された事実は確認されていないとしている。
わかっていないこと
・漏えいのおそれがある会員数および対応履歴の具体的な内容。
・MaaS Car利用者のうち、対象となる「会員の一部」の範囲・条件・件数。
・ランサムウェアの種類、攻撃者および侵入経路。
・身代金要求の有無や交渉状況。
・当初「別サーバー管理のため漏えいおそれなし」とされていた判断が、なぜ約3週間後に覆されたのか、その技術的背景。
・ユーピーアール以外の委託元企業への影響範囲。
当初の「漏えいなし」報告から一転
ユーピーアールの発表によると、日本テレネットからの最初の報告は3月17日に行われた。3月9日に発生したシステム障害について調査した結果、不正アクセスを受けたサーバーとユーピーアールの委託業務関連データは別サーバーで管理されており、漏えいのおそれはないという内容だった。
しかし、その後の日本テレネットによる継続調査により、4月8日になって委託業務関連データが漏えいしたおそれがあるとの新たな報告がもたらされた。当初の判断が約3週間で覆された形だ。
漏えい対象は電話問い合わせ会員とMaaS Car利用者の一部
漏えいのおそれがある対象者は、過去にカーシェアリングサービスに関して会員専用フリーダイヤルへ電話をかけた会員に加え、モビリティプラットフォーム(MaaS Car)の公式発表(2026年4月14日)によれば、対象期間にMaaS Carを利用した会員の一部も含まれる。漏えい対象の情報には「氏名」「電話番号」「対応履歴」などが含まれる。
一方、決済や本人確認に用いるクレジットカード情報や運転免許証画像については、日本テレネット側のシステム上、保存できない設計となっているとしている。
背景 委託先経由のサプライチェーン型被害が続く
近年、企業の基幹業務を担うコールセンターやBPO事業者を狙ったランサムウェア攻撃が相次いでいる。委託先が攻撃を受けた場合、複数の委託元企業の顧客情報が同時に流出するリスクがあり、サプライチェーン全体のセキュリティ対策が課題となっている。
本件のように、当初「漏えいなし」とされた事案が継続調査により「漏えいのおそれあり」に修正されるケースも珍しくない。ランサムウェア攻撃ではログの改ざんや消去が行われることがあり、被害範囲の特定には時間を要するためだ。
今後の対応
ユーピーアールは、日本テレネットとともに対象会員と情報の特定に向けた調査を進めるとしている。漏えいの可能性があると確認された会員へは順次連絡する方針だ。新たな事実が判明した場合は改めて報告するとしている。
タイムライン
2026年3月9日(月) 日本テレネットでシステム障害が発生(ランサムウェア攻撃)
2026年3月17日(火) 日本テレネットがユーピーアールへ「漏えいおそれなし」と初期報告
2026年4月8日(水) 日本テレネットが「委託業務関連データの漏えいおそれあり」と再報告
2026年4月13日(月) ユーピーアールが公表、調査継続中
2026年4月14日(火) モビリティプラットフォーム(MaaS Car)が関連情報を公表
ソース元
ページタイトル:カーシェアリングサービスの業務委託先に対する不正アクセスによる会員様情報等の漏えいのおそれについて(ユーピーアール株式会社)
URL:https://www.upr-net.co.jp/articles/news/company/20260413/
関連記事
NEW MaaS Car会員情報、委託先経由で漏えいの恐れ 再委託先の日本テ…
NEW MaaS Car会員の個人情報漏えいか—再委託先へのランサムウェア攻…
NEW 介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニ…
NEW ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9…
NEW 穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダ…
NEW ニッポンレンタカーの委託先、ランサムウェア被害 カーシェア会員の氏名…
NEW ECカートシステム「たまごリピート」に不正アクセス、約3.5万人の個…
NEW 委託先へのランサムウェア攻撃で個人情報漏えいの可能性 福祉用具レンタ…
NEW 不正アクセス、マルウェア埋め込みを確認のセカイモン サービス停止の理…
NEW UPSIDERにサプライチェーン攻撃 — OSS経由で不正アクセス、…
NEW ワシントンホテル株式会社、ランサムウェア感染の第3報 全端末にEDR…
NEW 不動産管理会社にランサムウェア攻撃、入居者・保証人らの個人情報が漏え…
村田製作所、不正アクセスで顧客・取引先に関する情報および従業員の個人…
穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
委託先へのランサムウェア攻撃で個人情報漏洩の可能性—株式会社ヤマシタ…
NEW 歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか …
カテゴリ:セキュリティニュース
タグ:クレジットカード情報漏洩,サプライチェーン攻撃,ランサムウェア,不正アクセス,個人情報漏洩,委託先
穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダークウェブに流出
【注意喚起】「【重要】Windowsセキュリティーシステムのアップグレード」Microsoftを騙るフィッシングメールの解析