【2025年9月】注目のインシデントニュース｜不正アクセス事例5選

サイバーセキュリティラボでは、サイバーセキュリティに関する事件や事故のニュースを日々取り上げています。2025年9月も様々な種類のインシデントが発生しました。今月は不正アクセスのインシデント事例を5つピックアップしてまとめています。

^{※本記事の内容は各社・各団体の発表当時の情報です。}

長崎県のテーマパーク「ハウステンボス」は、2025年8月29日に不正アクセスを受けたことを確認し、一部サービスが利用できなくなっていると発表しました。続報として2025年8月31日に調査進捗が公表され、同日19:00時点でも、ハウステンボスアプリ上のアトラクション待ち時間表示や一部レストランでのレシート発行が利用できない状況が続いていると報告しています。同社は、個人情報保護委員会と警察へ報告し、外部専門機関と連携した調査を進めています。

アクリーティブ株式会社は、2025年8月25日に発生したシステム障害について、同年8月29日に続報を公表しました。セキュリティ業者からの連絡により不正アクセスが発覚したため調査を実施したところ、委託ベンダーによるファイアウォールの更新作業時の設定ミスが原因とみられています。不正アクセスを受けたサーバーは直ちにネットワークから遮断され、発表のあった同年8月29日時点においても、専門家の助言のもとで調査・復旧対応が進められています。なお、同年8月29日時点では、サーバー内の情報が外部に流出した事実は確認されていません。同社は、追加で判明した事項や再発防止策についても速やかに報告するとしています。

スターバックスコーヒージャパン株式会社は2025年9月19日、導入しているシフト作成ツール「Work Force Management（WFM）」の提供元である Blue Yonder がサイバー攻撃を受けたことにより、同社従業員の個人情報の一部が流出した可能性を公表しました。漏えいの対象者は、同社およびライセンシーの従業員（正社員、アルバイト、退職者を含む）の約31,500名（同年9月16日時点）であり、顧客情報は含まれていません。漏えいした情報には従業員IDや漢字氏名等が含まれますが、住所や銀行口座情報、マイナンバー等の情報は含まれていません。同社は対象者に謝罪するとともに、Blue Yonder と連携して全容究明と再発防止に取り組むとしています。

東京外国語大学 アジア・アフリカ言語文化研究所は、運営するWebサイトが改ざんされ、アクセスしたユーザーがオンラインカジノサイトへ誘導される状態になっていたことを2025年9月19日に公表しました。原因はCMS（Contents Management System）の脆弱性を悪用した不正アクセスだと判明しており、改ざん期間は2025年6月5日から同年8月8日までの約2ヶ月間とみられています。影響範囲は研究所が独自管理するWebサイトに限定されており、攻撃を受けたサーバーには公開情報のみが保存されていたため、学生や教職員などの個人情報は含まれていないとしています。同研究所は、コンテンツ全体の脆弱性対応と改ざんされたファイルの全削除で安全が確認され次第、Webサイトの公開を再開する方針を示しています。

滋賀県近江八幡市は、同市の総合政策部 魅力発信課が運用する公式Xアカウント「@omigyu_hachiman」が、第三者からの不正アクセスを受け乗っ取られていたことを、2025年9月24日に公表しました。この不正アクセスは同年9月19日頃に発生したもので、9月24日の公表時点において個人情報流出などの二次被害は確認されていません。同市は、X Corp. Japan に対してアカウントが乗っ取られた旨を報告し、解決を依頼中であるとしています。また、公式Xアカウントを装った連絡や、外部サイトに誘導するURLが付いたダイレクトメッセージなどが届いた場合には、開かないよう注意を呼びかけています。