学校行事などの写真をオンラインで販売する「スナップスナップ」を手がけるフォトクリエイトは、不正アクセスによって氏名・住所・メールアドレス・電話番号など顧客の個人情報が流出した可能性があると明らかにしました。
ソフトウェアの脆弱性はすでに解消されたとしていますが、利用者に対してはパスワード変更を呼びかける状況であり、セキュリティ上の注意が必要な状態が続いています。
そこで本記事では、本件に関する被害内容と影響範囲についてわかりやすく解説します。
出典:時事通信社
目次
フォトクリエイトの情報漏えいインシデント概要
フォトクリエイトは2025年7月31日、不正アクセスによる顧客情報流出の可能性があるとして、Webサイト上で注意喚起を行いました。経緯は次の通りです。
- 7月24日:顧客からの通報により、フィッシングメールの送信を確認
- 7月29日:不正なプロセスを含むWebサーバーを隔離
- 7月30日:外部セキュリティ業者にデジタル鑑識調査を依頼
- 10月16日:調査報告書を個人情報保護委員会に提出
- 11月9日:ダークウェブに流出を示す投稿を確認
- 11月12日:個人情報保護委員会に報告
被害に対する初動として、不正プロセスの削除やWebサーバーの再構築、監視体制の強化などを実施しています。また、同時に警察への相談や個人情報保護委員会への報告も並行して進められました。
出典:株式会社フォトクリエイト
流出した可能性のある情報と被害内容
外部専門機関によるデジタル鑑識調査の結果、下記の個人情報が流出した可能性があることが判明しています。
- 氏名
- 住所
- メールアドレス
- 電話番号
- パスワード
- 生年月日
- 性別
- ニックネーム
なお、クレジットカード情報については保持していないため、今回の事案による流出はありません。
加えて、フィッシングメールによって悪質なリンクへ誘導される事例も確認されており、顧客への直接的な詐欺被害の発生も懸念されています。
出典:株式会社フォトクリエイト
影響範囲と顧客への対応
本件により影響を受けた可能性がある顧客には、個別のメール等で通知を実施しています。また、該当サービスの登録パスワードについては、漏えいリスクを鑑みて、全利用者に対して強制的なパスワード変更措置を実施しました。
具体的な対策は以下のとおりです。
- パスワード桁数の増加およびセキュリティ強化
- 同一パスワードを他のサービスで使用している場合は変更を推奨
- 迷惑メールや不審な請求メールへの注意喚起
すでにダークウェブ上に流出情報の存在が示唆されているため、情報が悪用される前に対策を講じることが求められます。
個人情報の悪用を防ぐために今すぐ行うべき対応
本件に関連し、顧客や登録者が被害を防止するために、次のような対応が推奨されています。
- パスワードを変更する
- 他サービスのパスワードも見直す
- 不審メールに注意する
出典:株式会社フォトクリエイト
再発防止策と監督官庁への対応
フォトクリエイト社は、本事案を受けて次のような再発防止策を講じたと発表しています。
- 不正アクセスに利用された脆弱性の解消
- サーバー監視体制の強化と検知体制の整備
- 外部専門家によるセキュリティ診断の継続実施
また、個人情報保護委員会には当初より複数回にわたって経過と報告書を提出し、所轄の警察署にも正式に被害相談を行い、捜査協力を継続しています。
出典:株式会社フォトクリエイト
不正アクセスへの対応にフォレンジック調査が有効
万が一、社内システムや委託先を経由した不正アクセスが発覚した場合、最優先で行うべきは、客観的かつ正確な原因の特定と被害範囲の把握です。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
特に法人の場合、影響が自社内にとどまらず、取引先や委託先、顧客、監督機関への説明責任が発生するケースも少なくありません。
個人情報が関係する場合には、個人情報保護委員会などへの報告義務が法律で定められており、内容不備や対応の遅れが再提出・行政指導・取引停止・信用毀損といったリスクに直結するおそれがあります。
フォレンジック調査は、その根拠となる事実や証拠を第三者性をもって構築する手段であり、社外説明・法的対応・監督官庁への報告にも活用可能です。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
このような調査を中立的な第三者が実施することで、調査の客観性が担保され、社内の是正措置と社外への信頼確保の両立が可能になります。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
フォトクリエイト社の情報漏えい事案は、不正アクセスとダークウェブ上の掲載確認により、顧客の個人情報が悪用されるリスクが現実化した深刻なケースです。
こうした事案では、原因となった脆弱性の解消だけでなく、漏えいの事実確認や影響範囲の把握、顧客や関係機関への誠実な対応が求められます。
不審なアクセスがあった場合や流出の可能性が示唆された場合には、社内だけで判断せず、中立的な立場で事実を証明できるフォレンジック調査を通じて、証拠の保全と信頼性ある報告体制を整えることが重要です。
関連記事
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
