サンリオエンターテイメントは、2025年1月21日に社内ネットワークへの不正アクセスを確認し、翌22日に公表しました。この不正アクセスにより、同社が運営するサービスに広範な影響が出たと報道がありました。

出典:サンリオエンターテイメント

サンリオの社内ネットワークに不正アクセス

2025年1月21日(火)19時00分に、サンリオエンターテイメントの社内ネットワークが第三者による不正アクセスを受けたことが発表されました。

サンリオピューロランドの運営にも影響が及んでおり、予約者以外の来場自粛要請や来場予約の新規受付停止、年間パスポートの販売停止などの措置が取られています。

不正アクセスによる影響サービスの停止

• サンリオピューロランド公式ホームページのマイページ機能
  
• 来場予約の取得システム
  
• 公式eパスポートチケットの購入システム
  
• サンリオエンターテイメントのコーポレートサイト

現在の状況

• 2025年1月22日(水)20時30分時点で一部のサービスがご利用いただけない状況が続いている。
• 個人情報漏洩の有無については2025年1月23日現在調査中です。

サンリオエンターテイメントの対応措置

• 外部専門機関や警察、関係機関と連携した調査の実施
• 対策本部の設置
• 関係機関への報告
• 外部からのアクセス制限の実施。

今後の対応

• 詳細は現在調査中、個人情報やその他の重要な情報に関しましても、流出の有無について確認を進めていると発表しています。

出典:サンリオエンターテイメント

サンリオへの不正アクセスの手口

サンリオエンターテイメントが2025年1月21日に確認した不正アクセスについて、具体的な脆弱性の種類は現時点で公表されていません。同社は現在、外部専門機関や警察、関係機関と連携して詳細な調査を進めている段階です。

可能性のある不正アクセスの手口

可能性のある不正アクセスの手口をいくつか紹介します。

Webアプリケーションの脆弱性

Webアプリケーションの脆弱性は、ソフトウェアの設計や実装上の欠陥によって生じる問題です。

• クロスサイトスクリプティング（XSS）
• クロスサイトリクエストフォージェリ（CSRF）
• 不適切なアクセス権限

ネットワークの設定ミス

ネットワークの設定ミスは、システム管理者の不注意や知識不足によって発生することが多く、以下のような問題があります。

• デフォルト設定の使用
• ファイアウォールの設定ミス
• 暗号化の不備

パッチが適用されていない既知の脆弱性

パッチ未適用の問題は、セキュリティ更新プログラムの適用が遅れることで発生し、以下のようなリスクがあります。

• ゼロデイ攻撃の危険性
• 古いソフトウェアの使用
• サードパーティライブラリの脆弱性
• IoTデバイスの脆弱性

不正アクセスを受けた場合はフォレンジック調査が有効

フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。

もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。

インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。

相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。

※１　累計ご相談件数39,451件を突破（期間：2016年9月1日～）
※２　データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。（集計期間：2007年～2020年）