お問い合わせ
2025年6月にはるやまホールディングス株式会社のサーバーが外部から不正アクセスを受けた件について、同社はこれまでに調査経過を公表してきました。
そして2025年10月末、外部専門機関による調査が完了し、最大1万8053件の個人情報が閲覧された可能性があることが明らかになり、最終報として内容を公開しました。
本記事では、第1報と最終報の情報をもとに、発生から判明までの経緯、被害内容、企業の対応と再発防止策について整理します。
目次
はるやまホールディングスが情報漏えいの最終報告と再発防止策を発表
はるやまホールディングスは、2025年6月26日にサーバーへの不正アクセスを検知し、複数の業務サーバーが暗号化されるランサムウェア被害を受けたと発表しました。同社は即日ネットワークからの切断などの初動対応を実施し、復旧と影響調査を進めてきました。
10月には調査が完了し、個人情報が外部から閲覧された可能性があること、ただし実際の流出・不正利用の痕跡は確認されていないことを明らかにしました。
6月下旬に不正アクセス検知から調査・公表へ
- 6月26日:不正アクセスを検知し、即座に対象サーバーをネットワークから隔離
- 同日中:社内に対策本部を設置し、外部専門機関との連携を開始
- サーバー内の業務データおよび業務ソフトウェアが暗号化され、アクセス不能な状態に
- 一部サービス(ポイント、ECサイト、アプリ等)に障害が発生
調査の結果最大1万8053件の個人情報が対象に
調査の結果、以下のような情報が閲覧された可能性があると報告されています:
- 対象者:はるやまグループの顧客、取引先、従業員
- 該当情報:氏名、郵便番号、住所、電話番号、メールアドレス
- 件数:18,053件
- クレジットカード情報は含まれていない
なお、実際に外部に流出・拡散した痕跡や不正利用、なりすまし被害などの二次被害は確認されていないとしています。
連絡対応と通知措置
法令上通知が必要な対象者には、2025年10月24日付でメールまたは郵送にて個別連絡を実施し、連絡が困難な方には、今回の最終報およびWebサイトでの公表をもって通知することにしました。
ネットワーク再設計と監視体制の強化
はるやまホールディングスは、以下の再発防止策を既に実施済みとしています。
- 侵入経路となったネットワーク機器の廃止
- セキュリティパッチ適用を含む新たなセキュリティソフトの導入
- アクセス監視・検知・遮断体制の強化
- 全サーバーに対する改めてのセキュリティ点検とパスワードの強化
- 社内のセキュリティポリシーの見直しと教育の徹底
今後も外部専門機関との連携を継続し、多層防御を軸にしたセキュリティ対策の継続的強化に取り組むとしています。
関係機関への報告
本件については、個人情報保護委員会へ法令に基づく報告は実施済みであり、警察をはじめとした関係機関への相談・助言も受けています。
業績への影響
2026年3月期の業績への影響については現時点で軽微と見られており、精査中としています。翌期以降への影響が明らかになった場合は、速やかに開示する方針です。
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
本記事では、はるやまホールディングスが公表した不正アクセスによるランサムウェア被害と、最大1万8000件超の個人情報漏えいの可能性について、その全容と対応策を整理しました。
初動対応の早さに加え、専門機関との連携による調査と、影響範囲の特定、再発防止策の実施まで一貫した対応が取られており、同様の被害リスクに直面する他社にとっても参考となる事例です。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
