雑誌定期購読サービス「Fujisan.co.jp」に不正アクセス。最大250万人の個人情報流出の可能性を発表 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社

Pマーク

ISMS/他のISO

その他

お役立ち情報

装飾 装飾 装飾
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事
  1. ホーム
  2. 助太刀記事
  3. 個人情報漏えい事件
  4. 雑誌定期購読サービス「Fujisan.co.jp」に不正アクセス。最大250万人の個人情報流出の可能性を発表

  1. ホーム
  2. 助太刀記事
  3. 個人情報漏えい事件
  4. 雑誌定期購読サービス「Fujisan.co.jp」に不正アクセス。最大250万人の個人情報流出の可能性を発表

雑誌定期購読サービス「Fujisan.co.jp」に不正アクセス。最大250万人の個人情報流出の可能性を発表

2025.6.24

雑誌定期購読サービス「Fujisan.co.jp」に不正アクセス。最大250万人の個人情報流出の可能性を発表
プライバシーザムライのアバター
プライバシーザムライ

プライバシーザムライ 中 康二です(オプティマ・ソリューションズ株式会社 代表取締役)。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護/情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像はリリース文より

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社富士山マガジンサービスは、自社が運営する雑誌の定期購読やオンライン購読ができる「Fujisan.co.jp」において不正アクセスが発生し、最大で250万人分の個人情報が流出した可能性があると発表しました。

今回の流出の詳細

流出した可能性がある情報は、
(1)不正ログインをされたお客様の情報 9人
(2)同社システムに登録された住所情報 2,528,491人(最大可能性)
とのことです。

個人情報250万件流出の可能性に至った経緯

同社リリースによると、2025 年5月31日より、海外から大量の不正アクセスが発生しており、それ自体はセキュリティシステムで検知できていたとのことです。しかし、この時点で同社はサービスは停止せず、通常通りの運営を続けていたようです。

次に、6月6日に顧客サポートデスクに情報漏洩の可能性を指摘する問い合わせ(特定の顧客からと思われる)を受けて調査を行ったものの、この時点では問題を特定できなかったとのこと。

6月13日、同社が調査していたところ、上記の顧客とは別の3アカウントにおいて不正アクセスが判明し、当該ユーザのパスワード強制変更、攻撃元のIPアドレスのブロックなどを行うことで、当面の不正アクセスが止まったことを確認したとのこと。

しかし、また6月16日、別の顧客から問い合わせを受け、調査したところ、今回は不正アクセスされただけではなく、当該ユーザの「住所録の変更」ページから、他のユーザーの「住所録の変更」ページを閲覧されていたことが発覚したため、急遽システムを改修し、その不正アクセスを止めたとのことです。

このアクセスがもしかしたら大規模に行われた可能性がある(詳細が分からない)ということで、今回は250万人の個人情報が流出した可能性があるというリリースになったようです。

推測:パスワードリスト攻撃を受けた可能性が高い

同社のリリース文は肝心なことがきっちりとは表現されていないため、具体的にどんなことがおこったのかわかりにくいのですが、何が起こっていたのか推測してみたいと思います。

状況からすると、最初にパスワードリスト攻撃が発生していたのではないかと考えられます。パスワードリスト攻撃とは、他のサービスから流出したIDパスワードをダメ元で使用してアクセスしてみて、同じIDパスワードの組み合わせを使い回している場合に不正アクセスに成功する攻撃手法のことです。

また、あるユーザーとしてログインしたら、他のユーザーの「住所録の変更」ページを閲覧できたというのは、明らかの同社のシステムの脆弱性であり、今回、それが不正アクセスを受けて発覚したということになります。

全てのWebサイトで実装するべき、パスワードリスト攻撃への対抗策

パスワードリスト攻撃自体は、インターネット上に公開している著名なWebサーバーであれば、いつ受けてもおかしくないですし、攻撃を受けたことについては同社に責任があるものではありません。

ただし、それが何千回、何万回と行われているとすると、少なくとも何%かの確率では成功する訳ですから、放置するべきではありませんでした。

例えば、この時点で全ユーザーのパスワード強制変更を行っていれば、今回のように事件が広がることはなかったと思います。攻撃を仕掛けてきているIPアドレスを遮断するという方法も取れたかも知れません。

また、同じIPアドレスから、短時間に何回もログインしようとする場合に、一定時間それをできなくする仕組みは、パスワードリスト攻撃を防ぐのに大変有益ですから、設計段階から必ず実装することをオススメします。

その他、二要素認証やパスキーなど認証を強化することも効果的です。

最後に、データベースのアクセスログがしっかり保管しておくことも重要です。今回のケースでも、データベースのアクセスログが保管されていれば、どのデータが参照されたのか遡って調べられるので、今回のように膨大な数の個人情報の流出の可能性というリリースをしなくても済んだ可能性があります。

まとめ

今回の「Fujisan.co.jp」の事例は、典型的なパスワードリスト攻撃の事例と思われます。そしてそれは、どの会社でも明日起こり得るリスクです。

先日、160億件のIDパスワードの組み合わせがダークウェブで公開されたというニュースがありました。このデータを使って様々な企業のWebサイトにパスワードリスト攻撃をしようと考える悪い人が沢山いると思います。ですから、どの企業も上記の対抗策を参考にしていただいて、準備をしていただきたいと思います。

当社への不正アクセスによる個人情報流出の可能性に関するお知らせ(株式会社富士山マガジンサービス)
https://www.fujisan.co.jp/guidance/20250620/(Web)
https://contents.xj-storage.jp/xcontents/AS08114/39a6dc20/ea83/49c2/8dfd/d4bc923871dd/140120250619594133.pdf(PDF)

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。

ランタン画像 関連記事

バナーの背景画像

Yellowボタン

メールで問い合わせる

 Yellowボタン

セミナーに参加する

Yellowボタン

資料ダウンロード

 Yellowボタン

メルマガに登録する

バナーにいる侍
旗が付いているデコレーション

Pマーク

ISMS/他のISO

その他のサービス

お役立ち情報

セミナー・イベント

会社情報

  • 東京オフィス

    東京都港区西新橋1-18-6クロスオフィス内幸町5階

  • 大阪オフィス

    大阪市北区梅田1-11-4-923 大阪駅前第4ビル9階

  • 名古屋オフィス

    愛知県名古屋市中区栄5丁目26-39 GS栄ビル3階

弊社もPマーク・ISMS・PIMSを取得しています。

プライバシーポリシー セキュリティ方針

©Optima Solutions inc.