お問い合わせ
2025年8月29日、エネルギー関連事業を手がける株式会社PinTは、自社が運営するお客さま向け「マイページ」に対して不正アクセスが発生したことを公表しました。
リスト型攻撃による不正ログインであることが確認されており、一部のお客さま情報が閲覧された可能性やポイントの不正利用被害が判明しています。
本記事では、株式会社PinTの公式発表をもとに、事案の経緯や確認された被害内容、そして同社が取った対応について解説します。
出典:PinT
目次
株式会社PinTが不正アクセス被害を発表
株式会社PinTは2025年8月29日、お客さま向け「マイページ」でリスト型攻撃による不正ログインが発生し、一部のお客さま情報が閲覧された可能性およびポイントの不正利用被害が確認されたと公表しました。
対象となった可能性のあるアカウントのパスワードは同社でリセット済みで、該当のお客さまへ個別に案内するとともにポイント補填を行うとしています。
2025年4月から8月の間に株式会社PinTはリスト型攻撃を受ける
2025年8月14日から16日にかけて、複数のIPアドレスから通常を大幅に上回るログイン試行が確認されました。
これによりリスト型攻撃による不正ログインが判明し、過去に遡った調査の結果、2025年4月1日から8月16日の期間に不正ログインが行われていたことが確認されました。8月16日には攻撃元IPアドレスを遮断し、8月29日に事案を公表しています。
被害の状況
今回の不正ログインにより、一部のお客さま情報が閲覧された可能性があることが判明しています。対象となる情報は、氏名、住所、電話番号、メールアドレス、契約番号、ポイント残高など「マイページ」に登録された基本的な会員情報です。
クレジットカード番号や金融機関口座情報は含まれていないと説明されています。
さらに、調査の結果、不正にアクセスされた可能性のあるアカウントは約6,500件に上り、そのうちポイント不正利用被害が実際に確認されたものは444件、被害総額は3,061,864ポイントに達しています。
対象となった可能性のあるアカウントについては、同社がすでにパスワードをリセット済みであり、該当のお客さまへは個別に案内を送付するとともに、不正利用分のポイントを補填する対応を行っています。
株式会社PinTの対応
株式会社PinTは、攻撃元IPアドレスを遮断したほか、不正ログインの可能性があるアカウントのパスワードをリセットしました。さらに、ポイント不正利用が確認されたお客さまには個別に連絡を行い、補填を実施しています。
また、警察および個人情報保護委員会への報告を済ませ、外部専門機関と連携した監視体制の強化も進めています。
今後の再発防止策として、二要素認証(多要素認証)の導入、ログイン監視体制の強化、不正アクセス検知精度の向上など、セキュリティ強化策を順次実施していく方針です。
出典:PinT
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
今回の記事では、株式会社PinTが運営する「マイページ」に対してリスト型攻撃による不正アクセスが発生し、一部のお客さま情報の閲覧やポイントの不正利用被害が確認された事案について解説しました。
企業に対する不正アクセスは、顧客への直接的な被害や信頼性の低下といった深刻なリスクを伴います。
今回のケースを踏まえ、外部専門機関との連携による調査体制の強化や、パスワード管理・二要素認証の導入など、セキュリティ対策を一層徹底していくことが求められます。
不正アクセスや情報漏えいへの対応には、迅速な報告と適切な補償、再発防止策の実行が不可欠です。企業にとっては顧客の信頼維持の観点からも、継続的なセキュリティ強化が重要となります。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
