ディスカウントストア「ドン・キホーテ」などを運営するパン・パシフィック・インターナショナルホールディングス(PPIH)は2025年10月10日、グループの伝票処理などを手掛ける業務委託先「アクリーティブ株式会社」のサーバーが第三者による不正アクセスを受けたと発表した。
この攻撃により、サーバーに保管されていたPPIHグループの取引先情報などがランサムウェアによって暗号化されたという。現時点で情報の外部漏えいは確認されていないものの、その可能性が完全に否定できないとして、文書を公表し注意を呼びかけている。
ファイアウォール交換直後に攻撃を検知
アクリーティブ社によると、不正アクセスが検知されたのは2025年8月25日。外部業者によるファイアウォールの交換作業直後に、サーバー監視システムがサイバー攻撃の可能性を示すアラートを発した。
同社の従業員が確認したところ、ファイルサーバーを含む一部のサーバーが暗号化され、閲覧できない状態になっていることが判明。直ちにファイアウォールの再交換と、攻撃を受けたサーバーの外部ネットワークからの遮断措置を実施したという。
漏えいの可能性がある情報
今回の不正アクセスにより、暗号化され、漏えいの可能性が指摘されているのは以下の情報だ。
- 取引先の情報
- 氏名(屋号)、住所、電話番号、支払い口座を含む取引に関する情報
- 従業員の情報
- パートナーへの支払い処理を行った一部従業員の氏名、部署名
なお、法人取引先に関しては、現時点では個人情報は含まれていないと想定しているとのことだ。
外部への漏えいは「可能性低い」が……
PPIHグループとアクリーティブ社は本事案を個人情報保護委員会へ報告済み。
アクリーティブ社が依頼した専門機関による調査では、サーバーやネットワーク機器のログを解析した結果、「情報が外部へ漏えいした可能性は低い」との報告を受けているという。しかし、暗号化されたサーバーは現在も復旧できておらず、情報漏えいの可能性を完全に払拭できないことから、今回の発表に至ったとしている。
現時点では、本件に起因する情報の不正利用や二次被害は確認されていない。PPIHグループは「委託先を含め情報管理体制の見直しを図ってまいります。この度は多大なご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます」とコメントしている。
