サイバー攻撃事件簿：「ハウステンボス」 サイバー攻撃

このブログで、不定期連載で、「サイバー攻撃事件簿」と題し、サイバー攻撃に関するニュースを取り上げ、事件の内容と、どんな対策有効なのかを啓発していきます。大量の個人情報漏洩が明らかとなった「ハウステンボス」 サイバー攻撃について深堀りします。

---

1) 何が起きたのか（時系列サマリ）

2025年8月29日（金）

• ハウステンボスのシステムで不正アクセスを確認。一部サーバの**ファイル暗号化（ランサム系挙動）**が判明。ネットワーク遮断や関連システム停止など初動を実施し、個人情報保護委員会・警察へ報告。

2025年8月31日（日）

• 進捗を公表。公式アプリの待ち時間表示と一部レストランのレシート発行が停止状態と案内。

2025年10月1日（水）までに順次復旧

2025年12月12日（金）

• 調査結果を公表。リモートアクセス機器を経由して侵入、複数サーバと端末が暗号化、個人情報の一部が外部流出した可能性を確認（現時点で実害の発生は未確認）。同日、報道各社が流出規模は最大約150万超と速報

---

2) 被害状況（公表ベースの確定情報）

侵入経路（調査結果）

• リモートアクセス機器経由で社内ネットワークへ不正侵入。複数サーバ・一部PCが暗号化。

流出の可能性がある件数・対象（最大値・概数）

顧客情報：約1,499,300人分

• （氏名／生年月日／性別／住所／電話／メールアドレス など）。

役職員・家族：約37,300人分

• （上記に加えマイナンバー、健康診断結果、障がいに関する情報を含む）。

取引先：約9,400人分

• （氏名／社名／連絡先／マイナンバー など）。

メディア報道の総数表現：最大約154.6万人分との速報

• （顧客・従業員・取引先を合算した見立て）。
• （参照）https://newsdig.tbs.co.jp/articles/-/2345102

業務影響

• 公式アプリの待ち時間表示停止、一部レシート発行不可等（その後復旧）。

---

3) 技術的な示唆（公表＋補足解釈／推測を含む）

※ここからは公式説明＋一般的知見に基づく推測を含みます。最終的な技術詳細は追加開示を待つ必要があります。

1侵入点：リモートアクセス機器

公式が侵入経路として明記。VPN/リモートデスクトップ装置やリモート管理ゲートウェイで、

• 認証強度不足（MFA未実装／弱いパスワード）
• 古いファームウェアや既知脆弱性の未パッチ
• **公開面の過剰露出（インターネット直結、IP制限なし）**といった“ありがちな穴”が重なると、資格情報攻撃や脆弱性悪用で初手侵入が成立しやすい。

2.横展開と暗号化（ランサム系TTP）

• 「複数サーバ＋端末の暗号化」という事実から、管理権限の奪取→横展開→一括暗号化の典型手口が想定される（AD/資産管理ツール悪用、スケジューラ配布など）。

3.PIIの広範保有と区分管理

• 顧客PII＋役職員のマイナンバー・健康情報＋取引先PIIが同社の環境内に存在。機微度の異なるデータが同一セグメント／同一バックアップ範囲に置かれていた場合、侵害時の影響が“面”で拡大する。

4.検知はできたが封じ込め・影響特定に時間

• 初動遮断→復旧完了まで1か月超。ログ相関の難しさやバックアップ復元・再ハードニングの負荷が推測される。

---

4) よくある“落とし穴”と対策の当てはめ（実務チェックリスト）

境界突破の難易度を上げる

MFA必須化

• （VPN/リモート管理の“全経路”に）。SSO＋条件付きアクセス（地理/IP/デバイス準拠）。

リモート機器の攻撃面縮小

• 最新ファーム適用／不要ポート閉塞／管理画面の非公開化、ゼロトラスト型ZTNAへの置き換え。

証跡強化

• 装置ログ＋IdPログ＋EDRログを統合可視化（SIEM/UEBA）し、同一アカウントの異常挙動をリアルタイム検知。

横展開を止める

特権アカウント分離

• （PAW/ジャンプボックス、JIT/JEA）

ネットワーク分割

• 顧客データ／人事・健康／会計・取引先でセグメント分離＋東西トラフィック制御。

EDR/挙動検知

• 暗号化前兆（大量ファイルオープン／拡張子変更）**を遮断するルールを常時チューニング。

被害半径を小さくする

データ最小化と区分保管

• マイナンバーや健康情報は暗号化（FPE/KMS）＋別系統保管。アクセスは業務フロー単位のABAC/RBACで極小化。

バックアップの無改変性

• **オフライン/不可変（WORM）**保管＋復元ドリルを四半期で実施。

秘密情報の発見・棚卸し

• （DSPM/DSC）でどの共有・どのDBに何があるかを常に把握。

IR（インシデント対応）の即応性

検知→封じ込め→根絶→復旧→広報

• プレイブックとRACIを演習。

関係者通知

• 顧客・従業員・取引先をテンプレ差替えで迅速通知、FAQ・専用窓口・モニタリング提供（フィッシング注意喚起）。

当局連携

• 個情委・警察・所轄保健所（健康情報含む場合）への報告ライン整備。

---

5) 今回の事例が示す“学び”

リモート入口は最重要ポイント

• 初手侵入がリモートアクセス機器だったことを公式が明言。境界の穴は今も攻撃者の最短ルート。

「暗号化＝停止」に直結する業務依存

• 待ち時間表示やレシート発行の停止は“顧客体験の毀損”として直撃。OT/店舗系×ITの連動設計では**業務継続設計（BCP）**が鍵。

高機微データの“同居”リスク

• マイナンバー＋健康診断のような機微PIIは法令順守だけでなく、設計レベルで隔離・暗号化しないと影響半径が極大化する。

規模感の把握は“公式一次情報”が基準

• メディアは約150万超と報じるが、内訳と属性範囲は公式リリースを一次根拠にし、対策の優先度（例：健康情報→最優先）を付ける。

---

7) 参考資料（一次情報／報道）

• 不正アクセス事案に関する調査結果のご報告とお詫び（2025/12/12） — ハウステンボス公式ニュース（侵入経路・対象範囲・再発防止策を明記）

  • https://www.huistenbosch.co.jp/htb-news/490

• 不正アクセス事案の状況と調査の進捗について（2025/8/31） — 一部サービス停止の告知（待ち時間表示／レシート）

  • https://www.huistenbosch.co.jp/htb-news/394

• TBS NEWS DIG（2025/12/12

  • https://newsdig.tbs.co.jp/articles/-/2345102

• ビジネス＋IT（2025/12/12）

  • https://www.sbbit.jp/article/cont1/176965