2025年10月、株式会社西友は、同社が利用しているBlue Yonder社のクラウド型勤怠管理システム「Work Force Management」が不正アクセスの被害を受けた結果、従業員情報が漏洩していたと発表しました。
この件は、同じくBlue Yonder社のサービスを利用していたスターバックスコーヒージャパンの情報漏えいに続くものであり、共通プラットフォームを狙った連続的なサイバー攻撃の可能性が示唆されています。
本記事では、発表内容に基づく被害の詳細、漏洩した情報の内容、注意すべき点、企業としての今後の対応について解説します。
目次
スターバックスに続く、連鎖的な漏えい事案
Blue Yonder社は2024年12月にかけて外部からのサイバー攻撃を受けていたとみられ、その後、複数の企業から従業員情報の漏えいが相次いで公表されています。
最初に発表されたのはスターバックスコーヒージャパンで、約3万人の従業員情報漏えいが2025年9月に明らかになりました。そして同年10月30日には、西友も同様にBlue Yonder社の提供する「Work Force Management」システムを通じて情報漏えいが発生していたことを公表しました。
出典:日経クロステック
西友の被害概要と漏えいした情報
西友が発表した内容によると、漏えいが確認されたのは2024年10月15日〜24日の間にBY社のシステム上に保存されていた従業員情報です。対象は現職および退職者を含む合計30,508名であり、漏えいした情報は次の通りです。
- 氏名(漢字)
- 従業員ID
- 生年月日
金融情報(口座番号、マイナンバー等)や住所、電話番号などの連絡先は含まれていないとされており、顧客情報にも影響はないと説明されています。
対象者と注意喚起のポイント
今回の漏えいにより、不審な連絡やなりすましのリスクがあるとして、西友は対象となる従業員や退職者に以下の点への注意を呼びかけています。
- 西友や関係会社を装った電話やメールに注意する
- 身に覚えのない請求や勧誘があった場合は無視し、専用窓口に連絡する
- 個人情報の確認を求める連絡に安易に応じない
トライアルホールディングス専用相談窓口:0120-515-361(平日 9:00〜18:00)
トライアルホールディングスとしての対応方針
西友は2024年よりトライアルホールディングスの子会社となっており、今回の情報漏えいについてはグループ全体としての対応と体制強化が求められています。
再発防止策として公表された対応は以下の通りです。
- BY社に対するセキュリティ体制の強化要請
- システム構成・アクセス管理の再点検
- 個人情報を取り扱う委託先管理体制の見直し
- 不審な連絡への注意喚起の継続と情報共有
今後も注視すべきクラウドSaaSのセキュリティリスク
今回のようにクラウドSaaS型の外部サービスを経由して発生した情報漏えいでは、利用企業が直接的な攻撃対象でなくとも、契約主体としての管理責任を問われるリスクが顕在化します。
特に、複数の法人が共通のプラットフォームを共有している場合、1社の脆弱性がグループ全体への波及を引き起こす恐れがあります。情報システム部門やリスク管理部門においては、次のような対策の再評価が求められます。
- 委託契約書へのセキュリティ義務・監査対応の明記
- 外部ベンダーに対する定期的なセキュリティアセスメント
- アクセス管理・ログ監査の常時化
- BCP・DR対応計画におけるサプライヤー依存の検証
今後も、同様の構成を採るSaaSサービスに対し、サプライチェーン型サイバー攻撃の脅威は継続的に高まると予想されます。組織全体でのセキュリティポリシー見直しと、従業員教育の徹底が重要です。
https://digitaldata-forensics.com/column/cyber_security/17706/
不正アクセスを受けた場合はフォレンジック調査が有効
万が一、社内システムや委託先を経由した不正アクセスが発覚した場合、最優先で行うべきは、客観的かつ正確な原因の特定と被害範囲の把握です。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
特に法人の場合、影響が自社内にとどまらず、取引先や委託先、顧客、監督機関への説明責任が発生するケースも少なくありません。
個人情報が関係する場合には、個人情報保護委員会などへの報告義務が法律で定められており、内容不備や対応の遅れが再提出・行政指導・取引停止・信用毀損といったリスクに直結するおそれがあります。
フォレンジック調査は、その根拠となる事実や証拠を第三者性をもって構築する手段であり、社外説明・法的対応・監督官庁への報告にも活用可能です。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
このような調査を中立的な第三者が実施することで、調査の客観性が担保され、社内の是正措置と社外への信頼確保の両立が可能になります。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
今回の西友における情報漏えい事案は、共通の外部サービスを介して複数企業へ波及するという、近年増加しているサプライチェーン型サイバー攻撃のリスクを浮き彫りにしました。
クラウド型システムの利便性と引き換えに、委託先の脆弱性が企業の信用を揺るがす時代において、発覚後の迅速な対応と透明性ある説明責任が何よりも重要です。
万一の際は、事実をもとに被害範囲を正確に把握し、関係者・取引先・監督官庁への適切な報告・対応を行うためにも、第三者性をもったフォレンジック調査の活用をぜひご検討ください。
関連記事
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
