【インシデント速報】2026年4月25日|LIFULL HOME'S いえらぶCLOUD波及・日本カーソリューションズ BEC・東山産業 Qilin第3報
secure2026年4月22日〜24日公表分まとめ
この3日間は「SaaS依存」と「メール詐欺」の両面で実害が積み上がった。4月22日、東証プライム上場の LIFULL は、取引先不動産会社が利用する「いえらぶ CLOUD」への不正アクセスで、HOME'S 問い合わせユーザーの情報が第三者に取得された可能性を公表。4月24日には ScanNetSecurity が、日本カーソリューションズで役員を騙る第三者からのメールに担当者が社員名簿ファイルを返信してしまった BEC 事案を詳報。さらに 4月15日に東山産業が公開した第3報では、Qilin ランサムグループにより、一部データがダークウェブ上で実際に公開されていることが確認された。中小企業にとっては、利用 SaaS の侵害連鎖、経営層を装ったメールへの対応、委託先ランサム被害——いずれも「自社は直接狙われていない」状況でも巻き込まれる構造だ。
本日のインシデント(4月22日〜24日公表分)
株式会社LIFULL(HOME'S):取引先不動産会社利用「いえらぶCLOUD」への不正アクセス、HOME'S問い合わせユーザー情報が取得された可能性
- 公表日
- 2026年4月22日
- 発生事象
- 取引先不動産会社が利用するクラウドサービス「いえらぶCLOUD」(提供:株式会社いえらぶGROUP)への第三者による不正アクセス。LIFULL HOME'S 問い合わせ経由でいえらぶCLOUDに連携されたユーザー情報が、不正に取得された可能性
- 攻撃発覚時系列
- 2026年4月5日〜6日 いえらぶ側で不正アクセス発生 / 4月8日 いえらぶGROUPが第一報 / 4月10日以降、LIFULL・日本財託・アーキテクトディベロッパー等の利用企業が順次公表 / 4月22日 LIFULLが自社ユーザーへの影響を公表
- 対象組織
- 株式会社LIFULL(東証プライム上場、不動産・住宅情報サービス「LIFULL HOME'S」運営)
- 対応状況
- 該当ユーザーへの個別連絡準備、いえらぶGROUPと連携した調査継続、自社側連携API/データフローの点検
4月22日、LIFULL は、取引先の不動産会社が利用するクラウドサービス「いえらぶCLOUD」への不正アクセスにより、LIFULL HOME'S を通じて物件の問い合わせを行ったユーザーの情報が、不正に取得された可能性があると公表した。いえらぶ CLOUD は全国17,000社以上の不動産会社が利用する業務基盤で、4月5日〜6日に特定の利用アカウントを悪用した不正アクセスが発生している。
LIFULL 自社システムへの直接的な侵害はないが、HOME'S から物件問い合わせをしたユーザー情報は、物件を取り扱う不動産会社のいえらぶ CLOUD 環境へ連携される仕組み。そのため、問い合わせ先の不動産会社が被害を受けていた場合、LIFULL HOME'S ユーザーの情報も巻き込まれる構図となる。ダークウェブ上では攻撃者を名乗る人物が、SUUMO・CHINTAI・HOME'S・at home 等の大手ポータル経由データ計240万件(ユニークメールアドレス約97万件)を販売していると主張しており、被害実体の調査が続いている。
中小企業への影響
自社が SaaS を「直接」使っていなくても、取引先や顧客側の SaaS が侵害されれば、自社から送ったデータ(問い合わせ、見積り、カタログ請求等)が外部に出る。LIFULL のように自社システムは堅牢でも、連携先の SaaS 経由で顧客情報が流出する「SaaS サプライチェーン事故」は今後さらに増える。中小企業では「取引先から『あなたの会社から共有された情報が含まれる可能性がある』と連絡される」パターンに備えておく必要がある。
推奨対応
- 自社データが連携される外部 SaaS(不動産、採用、会計、EDI 等)を棚卸し。どの項目が誰のクラウドに渡っているかを一覧化
- 重要 SaaS の提供事業者に「直近のセキュリティ公表」「SOC2/ISMS 等の監査状況」を年1回確認
- 顧客データを外部 SaaS へ連携する際、不要項目(住所の番地まで、電話番号、生年月日等)を最小化するよう連携設計を見直し
- 委託先事故で自社顧客が影響を受けた場合の連絡テンプレ(いつ、何が、どうなった可能性があるか)を事前に用意
日本カーソリューションズ:役員を騙る第三者からの依頼に社員名簿ファイルを返信、ScanNetSecurityが4月24日に詳報
- 公表日
- 2026年4月7日(自社プレス) / 2026年4月24日(ScanNetSecurityが詳報)
- 発生事象
- 役員の氏名を騙った第三者から「社員名簿および連絡先が保存されたファイル」を送付するよう依頼するメールを受信。担当者が当該アドレスに返信し、社員名簿ファイルを添付してしまった
- 時系列
- 2026年3月31日 18:04頃 役員なりすましメール受信 / 4月1日 10:21頃 担当者が当該メールへ返信しファイル添付 / 4月6日 別アドレスから同系統と見られるメールを受信、不審として社内共有したことで発覚
- 対象組織
- 日本カーソリューションズ株式会社(リース・カーリース・フリート管理事業)
- 漏えい内容
- 社員名簿および連絡先を記載したファイル(社員個人情報)
- 対応状況
- 顧客・関係者向け注意喚起(自社社員を騙った不審メール・電話が来る可能性があるため、心当たりのない連絡は応じず確認を)、警察への相談、類似メール監視強化
リース事業を手がける日本カーソリューションズは、3月31日夕刻に受信した「役員の名前を騙った第三者」からのメールに、翌4月1日午前、担当者が社員名簿ファイルを添付して返信していたと公表した。4月6日に同系統と見られる別アドレスからのメールを受信した社員が「不審だ」として共有したことにより事案が発覚。ScanNetSecurity は4月24日にこの事案を詳報し、BEC(ビジネスメール詐欺)型の情報窃取として注意喚起した。
典型的な BEC は「送金指示」だが、今回のように「社員名簿を送れ」という依頼型も増えている。手に入れた社員リストは、次段階の標的型メール、SIM スワップ、SNS 詐欺、取引先なりすましの「弾薬」として使われる。同社は、自社社員を騙ったメール・電話に心当たりがない場合は応じず、公式番号で直接確認するよう顧客・関係者に呼びかけている。
中小企業への影響
中小企業では、役員との距離が近く「社長から直接依頼された」「役員から至急と言われた」に対して担当者が即応する文化がある。逆にそれが狙われる。氏名だけ一致していれば本物と思い込み、メールヘッダーの差出人アドレスを確認せずに返信してしまうケースが後を絶たない。社員名簿が一度流出すると、その情報は攻撃者側で半永久的に再利用され、1〜2年後の標的型攻撃の起点となる。
推奨対応
- 「役員名義のメールで名簿・顧客リスト・口座情報を要求された場合、メール返信ではなく電話・チャットで本人確認する」というルールを全社員に周知
- 社員名簿や連絡先一覧は、メール添付ではなく社内ストレージへのアクセス権付与で受け渡す運用に変更
- メールサーバで SPF・DKIM・DMARC(policy=reject)を設定。なりすましメールを受信しない・送らせない
- 不審メール報告ボタン(Outlook/Gmail のアドイン)を全端末に配布。疑った社員が1クリックで情シスへ共有できる経路を作る
- 年1回、役員なりすまし・送金詐欺を想定した訓練メールを送信し、開封・返信率を経営会議で共有
東山産業:Qilinランサムグループが第3報でダークウェブにデータ公開を確認、ヤマシタ・フランスベッドの委託先として波及
- 公表日
- 第1報: 2026年3月6日 / 第2報: 2026年3月18日 / 第3報: 2026年4月15日(以降、関連報道が4月22〜24日も継続)
- 発生事象
- 2026年3月6日に社内ネットワークへのランサムウェア攻撃を確認。業務時間外を中心に複数サーバへの不正ログインが行われ、管理者権限を奪取されたうえで複数サーバ上のファイルが暗号化された
- ダークウェブ公開
- 2026年4月10日 Qilin ランサムグループのリークサイトに一部データの写真が掲載 / 4月15日 データ本体が公開されていることを確認
- 対象組織と波及
- 東山産業株式会社(寝具・介護用品の卸事業)/ 委託元のヤマシタ(介護用品レンタル)、フランスベッド(寝具販売)が自社顧客情報への影響を調査中
- 対応状況
- 外部専門機関との連携調査、受発注・請求業務の一部手動運用、委託元事業者との情報共有
東山産業は3月6日に確認したランサムウェア攻撃について、4月15日に第3報を公表した。外部専門機関の中間調査によると、攻撃者は業務時間外を中心に複数サーバへログインを試み、管理者権限を奪取したうえでネットワーク全体へ侵入範囲を拡大、最終的に複数サーバ上のファイルを暗号化したとされる。ダークウェブ調査では、4月10日に Qilin ランサムグループのブログに一部データの写真が掲載され、4月15日にはデータ本体が公開されていることが確認された。
東山産業は介護用品レンタルのヤマシタ、寝具販売のフランスベッドなどから業務を受託しており、委託元各社も自社顧客情報が影響を受けた可能性について調査を続けている。受発注・請求書対応の一部業務は通常より時間を要する状態が続いており、取引先への影響が長期化している。
中小企業への影響
中小の物流・卸・受託加工業は、親会社・大手委託元の顧客データを「預かって」業務を回しているケースが多い。自社の顧客だけでなく、委託元の顧客情報が同じファイルサーバに置かれていれば、1回のランサム被害で「自社の数倍の規模で」被害公表が必要になる。Qilin は窃取→暗号化→リーク公開の二重恐喝を徹底するグループで、身代金を払わなくても一定期間でデータがダークウェブに公開される。委託元の信頼失墜は事業継続リスクに直結する。
推奨対応
- 管理者権限アカウントの棚卸し。常用権限(日常業務用)と管理者権限を別アカウントで分離し、管理者権限は作業時のみ有効化
- 業務時間外のサーバログインを監視対象にし、SIEM/EDR で異常サインインを即時アラート化
- 委託元から預かったデータは別ファイルサーバ・別アクセス権で隔離。自社従業員の誰がアクセス可能かを文書化
- バックアップは本番と物理・論理分離(イミュータブル/オフライン)し、復元テストを四半期ごとに実施
- ランサム被害公表テンプレ(影響範囲、委託元への報告、顧客通知)を事前に準備。弁護士・広報の連絡先も一覧化
編集部まとめ
この3日間は、自社が直接攻撃されなくても被害公表に追い込まれる「巻き込まれ型」事案が並んだ。LIFULL HOME'S は取引先 SaaS の事故で、日本カーソリューションズは経営層を騙るメール1通で、東山産業は委託元の信頼にまで波及している。中小企業が連休前にやるべきことは単純だ。①外部 SaaS とデータ連携先を一覧化、②役員名義の依頼メールには電話で折り返すルールを明文化、③重要ファイルのオフラインバックアップと管理者権限の分離。どれも費用より運用の問題で、今日からできる。
参考情報
- 株式会社LIFULL — クライアント(不動産会社)様が利用するクラウドサービスにおける不正アクセスに関するお知らせ
- Security NEXT — クラウドに不正アクセス、関係者情報の流出を確認 - いえらぶGROUP
- 株式会社いえらぶGROUP — 当社のクラウドサービスへの不正アクセスに関するお知らせ
- 日本カーソリューションズ — 【注意喚起】弊社社員名簿および連絡先の流出事案発生のご報告
- ScanNetSecurity — 役員の名前を騙った第三者がファイル送信を要求 社員名簿と連絡先が流出
- 東山産業株式会社 — 当社サーバー等へのランサムウェア攻撃に関するお知らせとお詫び(第3報)
- セキュリティ対策Lab — いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害企業や概要まとめ
