セキュリティ

SECURITY

公開：2025-01-29

ハンズクラブアプリで個人情報12万件が漏えい、第三者による不正アクセスでパスワードなども流出

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ハンズのアプリで12万件超の個人情報が漏えい
• 不正アクセスは2024年11月から12月にかけて発生
• クレジットカード情報の流出は確認されていない

ハンズクラブアプリでの個人情報漏えい問題

ハンズは2025年1月27日、公式アプリ「ハンズクラブアプリ」のシステムに対する第三者からの不正アクセスにより、121,886件の個人情報が漏えいしたことを発表した。漏えいした情報には氏名、会員番号、メールアドレス、パスワード、住所、電話番号、性別、生年月日が含まれているものの、クレジットカード情報の流出は確認されていない。^[1]

不正アクセスは2024年11月27日から開始され、12月2日にログイン回数の異常を検知したことで発覚した。ハンズは直ちに社内調査を開始し外部の管理会社にも調査を依頼するとともに、12月5日に不正アクセスの事実が判明した時点で緊急セキュリティ対策を実施している。

ハンズは個人情報保護委員会への報告を12月12日と1月23日に行っており、所轄の警察署にも相談している。現時点ではハンズクラブポイントやハンズネットストアでの不正利用は確認されていないものの、該当する会員に対して個別に連絡を取り、パスワードの変更を要請している。

個人情報漏えいの詳細まとめ

ソフトウェアの脆弱性について

ソフトウェアの脆弱性とは、プログラムの設計や実装上の欠陥により、セキュリティ上の弱点が生じている状態のことを指す。主な特徴として、以下のような点が挙げられる。

• 不正アクセスや情報漏えいの原因となるシステム上の欠陥
• パッチやアップデートによる修正が必要な技術的問題
• 悪意のある第三者に悪用される可能性がある設計上の問題点

今回のハンズクラブアプリの事例では、システムに利用していたソフトウェアの脆弱性が不正アクセスの侵入口となっている。脆弱性は発見され次第速やかに対策を講じる必要があるが、完全な対策には継続的な監視とアップデートが不可欠である。

ハンズクラブアプリの情報漏えいに関する考察

今回の事案で評価できる点は、不正アクセスを早期に発見し、直ちに調査と対策を開始したことである。また、クレジットカード情報が含まれていなかったことや、ハンズクラブポイントの不正利用が確認されていない点は不幸中の幸いといえるだろう。

しかし今後の課題として、ソフトウェアの脆弱性を事前に発見し対処する体制の構築が必要不可欠である。また、個人情報漏えいの発覚から公表までに約2か月を要しており、より迅速な情報開示のあり方も検討する必要があるだろう。

今後はセキュリティ監視の強化に加え、システムの定期的な脆弱性診断や、インシデント発生時の迅速な対応体制の整備が求められる。また、ユーザー側の対策として、二段階認証の導入やパスワード管理の強化なども検討に値するだろう。

参考サイト

1. ^ ハンズ. 「「ハンズクラブアプリ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」. https://info.hands.net/information/20250127_HCAppUnauthorizedAccess.pdf?_bdsid=GFZAq.piBDn6j.1737945346451.1737946862&_bd_prev_page=https%3A%2F%2Fhands.net%2F&_bdrpf=0, (参照 25-01-29).
2. 個人情報保護委員会. https://www.ppc.go.jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧