JR九州グループ会社で不正アクセス、従業員・退職者など1万4638人の情報が漏えいした可能性

JR九州は2026年1月19日、同社グループ会社のネットワークが第三者による不正アクセスを受け、グループ会社（JR九州本体は除く）に在籍した従業員・派遣スタッフ・退職者などの情報が外部へ漏えいした可能性があると公表しました。対象は58社、対象者は合計1万4638人とされています。

何が起きた？

• 発生日：2025年10月17日
• 内容：グループ会社ネットワークへの不正アクセスをセキュリティツールで検知・防御したが、その後の調査でPCログイン情報等が漏えいした可能性があると判断
• 対象：JR九州を除くグループ会社58社に在籍した従業員・派遣スタッフ・退職者
• 対象者数：1万4638人
• 現時点：情報が漏えいした事実は確認されていない（ただし可能性を否定できないため公表）

公表時点の説明としては、「漏えいを確認した」ではなく、「外部に漏えいした可能性があるため通知・公表した」という位置づけです。

漏えいした可能性がある情報

漏えいの可能性があるとされた情報は、次の3点です（住所・電話番号・金融情報などは挙げられていません）。

• 氏名
• 会社付与のメールアドレス
• PCログインID

時系列（いつ・何があったか）

1. 2025年10月17日：第三者による不正アクセスを受け、セキュリティツールで検知・防御
2. その後：調査の結果、PCログイン情報等が漏えいした可能性があると判断
3. 2026年1月19日：JR九州が公表（対象者へ個別通知も進めたが、退職等で連絡困難なケースがあるため公表を通知に代える）

会社側の対応

JR九州は、対象となる従業員・元従業員へ個別連絡を進めたうえで、連絡がつかない人もいるため公表をもって通知に代えるとしています。また、個人情報保護委員会へ報告済みで、情報セキュリティ強化など再発防止に取り組むとしています。

想定される影響と注意点

今回公表された情報は「氏名・会社メール・ログインID」で、直ちに金銭被害に直結する類型とは限りません。一方で、これらはなりすましメール（フィッシング）やIDを手がかりにした攻撃に悪用されるリスクがあります。特に退職者や派遣スタッフなど、連絡が行き届きにくい方には注意が必要です（※ここは一般的な注意喚起であり、具体的な悪用事例が確認されたという意味ではありません）。

対象かもしれない人がやること

• JR九州グループ会社や関係者を名乗るメールで、リンククリック・添付開封・ログイン要求がある場合は慎重に対応する
• パスワードの使い回しがある場合は、重要サービスから優先して変更し、多要素認証（MFA）も検討する
• 不審な連絡が続く場合は、公表資料に記載の窓口へ確認する

まとめ

JR九州は、グループ会社ネットワークへの不正アクセスにより、58社・1万4638人分の「氏名・会社メール・PCログインID」が漏えいした可能性を公表しました。現時点で漏えいの事実は確認されていない一方、情報の性質上、なりすましメールなど二次被害への警戒は必要です。企業側はグループ横断での認証情報管理や監視体制の強化が課題になりそうです。(JR九州の公表資料)

参考

• JR九州：JR九州のグループ会社に勤務した経験のある方々へのお知らせ（PDF）
• INTERNET Watch：JR九州、不正アクセスによりグループ会社従業員の情報が漏えいした可能性
• Security NEXT：JR九州グループ会社にサイバー攻撃 – 従業員情報流出の可能性
• テレビ西日本（TNC）：約1万5000人の個人情報漏えいおそれ