ハウステンボスで不正アクセス:公式発表から分かることと、利用者が今できる対策(2025年12月12日公表内容)
2025年8月、ハウステンボス株式会社は社内システムへの
不正アクセス(サイバー攻撃)を確認し、調査と復旧対応を進めてきたと公表しました。その後、2025年12月12日に外部専門家の調査結果が公表され、
個人情報の一部が外部に漏えいした可能性があることが明らかになっています(※ただし、現時点で被害の発生は確認されていない、としています)。
本記事では、公式発表をもとに「何が起きたのか」「どんな情報が対象になり得るのか」「私たちが今できる対策」を、できるだけ分かりやすく整理します。
まず結論
- 複数サーバー/一部端末のデータが暗号化されたことが確認されています。
- 調査の結果、個人情報の一部が外部に漏えいした可能性があるとされています(被害の発生は未確認)。
- クレジットカード情報は保有していないため漏えいなしと説明されています。
- 対象者には順次連絡。連絡困難な場合は公表をもって案内としています。
何が起きた?
- 2025年8月29日:システムの一部への不正アクセスを確認。業務管理システム等のサーバー内ファイルの一部が暗号化されていることを確認し、被害拡大防止のためサーバー停止・ネットワーク遮断などの緊急措置を実施。個人情報保護委員会・警察へ報告し、外部専門家と調査・復旧対応を開始。
- 2025年8月31日(19:00時点):公式アプリの待ち時間表示など、一部サービスが利用できない状況があると告知。
- 2025年10月1日まで:アプリ待ち時間表示の休止や一部発注システムの制限などの影響は復旧。
- 2025年12月12日:調査結果を公表。リモートアクセス機器経由で第三者がネットワークに侵入したこと、複数サーバー・端末で暗号化が行われたこと、個人情報の一部が漏えいした可能性があることを公表(被害発生は未確認)。
漏えいした「可能性がある」個人情報の範囲
ハウステンボス株式会社の発表では、漏えいの
可能性がある情報は次の通りです(※漏えいが確定ではなく、可能性があるという表現です)。
お客様に関する情報:約1,499,300人分
- 氏名、生年月日、性別、住所、電話番号、メールアドレス など
役職員(退職者含む)および家族:約37,300人分
- 氏名、生年月日、性別、住所、電話番号、メールアドレス
- マイナンバー情報、健康診断結果、障がいに関する情報 など
取引先に関する情報:約9,400人分
- 氏名、社名、住所、電話番号、メールアドレス
- マイナンバー情報 など
なお、発表では
クレジットカード情報は保有していないため、漏えいはないと説明されています。
利用者が今すぐできる対策
現時点で「被害の発生は確認されていない」とされていますが、情報が対象に含まれる可能性がある場合、
二次被害(なりすまし・フィッシング・詐欺)への備えが重要です。
- 心当たりのない電話・SMS・メールに注意(「本人確認」「返金」「再登録」などの文面は要警戒)。
- リンクを開かず、公式サイトから確認する(メール内リンクからログインしない)。
- パスワードの使い回しをやめる/変更する(特に同じメールアドレス+同じパスワードを他サービスで使っている場合)。
- 二要素認証(MFA)を有効化できるサービスは必ず有効にする。
- 不審な連絡を受けたら窓口へ相談(後述)し、必要に応じて通信事業者・金融機関にも相談する。
今回の事故から学べる「守り方」
発表では、侵入経路として
リモートアクセス機器経由が示されています。一般的に、リモートアクセスの設定・認証・権限が甘いと、外部からの侵入リスクが一気に高まります。
- リモートアクセス機器/VPNの棚卸し(不要な経路は閉鎖、最新パッチ適用、強固な認証へ)。
- 用途別のネットワーク分離(侵入されても横展開しにくい設計に)。
- アカウントポリシーと認証方式の見直し(MFA、最小権限、特権ID管理)。
- 監視体制の強化(ログの集中管理、異常検知、初動手順の整備)。
- バックアップとBCPの再整備(暗号化=業務停止に直結するため、復旧可能性が要)。
ハウステンボス株式会社も再発防止策として、通信設計の厳格化、認証見直し、デバイス管理強化、監視体制再構築、バックアップ・BCP再整備、従業員教育の強化などを挙げています。
問い合わせ窓口(公式発表)
不審な連絡を受けた場合などは、公式の問い合わせ窓口が案内されています。
- ハウステンボス株式会社 個人情報相談窓口
- 電話:0120-602-064
- 受付:9:00〜17:00(休業日:2026年1月6日〜1月9日を除く)
まとめ
ハウステンボス株式会社は、2025年8月に不正アクセスを確認し、サーバー停止やネットワーク遮断などの緊急措置を行ったうえで調査を継続。2025年12月12日の調査結果では、リモートアクセス機器経由で侵入され、複数サーバー・端末の暗号化が確認され、個人情報の一部が漏えいした可能性があると公表しています(被害発生は未確認)。
個人としては「怪しい連絡に反応しない」「リンクは踏まない」「パスワード使い回しを止める」「MFAを有効にする」といった基本対策が二次被害の予防になります。事業者としては、リモートアクセスや認証・権限、ネットワーク分離、監視、バックアップ体制を改めて点検することが重要です。
参考リンク(公式・報道)
