株式会社ハンズの「ハンズクラブアプリ」への不正アクセス：国内情報漏洩事例 2025

事象

2025年1月27日、株式会社ハンズは、「ハンズクラブアプリ」に対する不正アクセスにより、約12万1,886件のユーザー情報が漏えいした可能性があると発表しました。
本事案は、企業におけるセキュリティ対策の重要性を再認識させるものとなっています。

不正アクセスの経緯と発覚

• 2024年12月2日:
  ハンズクラブアプリのログイン回数に異常が確認され、社内調査および外部の管理会社に調査依頼が行われました。
• 2024年12月5日:
  調査の結果、同年11月27日から不正アクセスが継続していたことが判明。直ちに緊急のセキュリティ対策が実施され、その後、第三者調査機関によるフォレンジック調査が行われ、被害状況の解明が進められました。

漏えいした可能性のある情報

流出の可能性があるデータ（約12万1,886件）は以下の通りです：

• 氏名
• ハンズクラブ会員番号
• メールアドレス
• ログインパスワード
• 郵便番号・住所
• 電話番号
• 性別
• 生年月日

なお、クレジットカード情報の漏えいは確認されていません。

原因と対策

不正アクセスの原因:
ハンズクラブアプリのシステムに存在していたソフトウェアの脆弱性が攻撃者に突かれたことが原因と考えられ、適切なパッチ適用や脆弱性管理が不十分であった可能性があります。

実施された対策:

• 緊急セキュリティ対策を複数回実施
• システムのセキュリティ強化および監視体制の強化
• 現時点で新たな不正アクセスは確認されていない

ユーザーへの影響と対応

株式会社ハンズは、影響を受けた可能性のあるユーザーに対し、以下の対応を実施しています：

• パスワード変更を推奨し、再設定を促す
• 不審なメールや電話に対する注意喚起
• 身に覚えのない郵送物やメールは開封しないよう指示
• 個人情報保護委員会および所轄の警察署に報告し、捜査に全面協力

教訓と今後の対策

本事案は、企業のアプリケーションおよびシステムにおけるセキュリティ対策の重要性を強調しています。特に、以下の対策が必要です：

• 脆弱性管理の徹底（定期的なアップデートおよびパッチ適用）
• 異常なアクセスを即座に検知する監視システムの導入
• 多要素認証（MFA）の導入およびユーザー保護の強化
• 従業員へのセキュリティ教育（標的型攻撃への対策強化）

株式会社ハンズは、今回の事態を厳粛に受け止め、再発防止策を継続的に実施する方針です。ユーザー自身も、定期的なパスワード変更やセキュリティ意識の向上に努める必要があります。

出典:
公式発表: https://info.hands.net/information/20250127_HCAppUnauthorizedAccess.pdf