結論:身代金を払わなくても情報は流出する——穴吹興産の事例が示した現実
2026年2月3日、四国を基盤とする不動産デベロッパー穴吹興産がランサムウェア攻撃を受けた。そして3月11日、攻撃者はダークウェブ上に49.6万人分の個人情報を公開した。身代金の支払い拒否に対する「報復」とみられる。
この事案は、ランサムウェア攻撃が「暗号化によるシステム停止」だけでなく、「二重脅迫(ダブルエクストーション)」による情報流出が常態化していることを改めて浮き彫りにした。中小企業にとっても他人事ではない。
攻撃のタイムライン——侵入から流出までの37日間
| 日付 | 出来事 |
|---|---|
| 2月3日 | ランサムウェア攻撃を検知。社内システムの一部が暗号化される |
| 2月4日 | 外部セキュリティ専門機関に調査を依頼。影響範囲の特定を開始 |
| 2月7日 | 個人情報保護委員会に速報を提出 |
| 2月中旬 | 攻撃者グループから身代金要求を確認。穴吹興産は支払いを拒否 |
| 3月11日 | ダークウェブ上のリークサイトで49.6万人分の情報の公開を確認 |
| 3月12日 | 第二報を公表。顧客・取引先への個別通知を開始 |
被害の規模と影響——49.6万人の情報とは何か
流出が確認された個人情報
| 情報の種類 | 件数(推定) | 二次被害リスク |
|---|---|---|
| 氏名・住所・電話番号 | 約49.6万人分 | フィッシング詐欺、なりすまし |
| メールアドレス | 含まれる | スパム、標的型メール |
| 契約情報(物件名・契約日等) | 一部含まれる | 不動産詐欺 |
| 金融情報(口座番号等) | 調査中 | 不正送金 |
二次被害のリスク
ダークウェブに流出した情報は削除が事実上不可能だ。流出情報は攻撃者間で売買・共有され、以下のような二次被害につながる。
- 流出した氏名・住所を使った不動産投資詐欺のダイレクトメール
- メールアドレスを使ったフィッシングメール(穴吹興産を騙るケースも想定される)
- 電話番号を使ったオレオレ詐欺・架空請求のターゲットリスト化
不動産業界・サプライチェーンへの影響
穴吹興産は四国最大級のマンションデベロッパーであり、管理会社、建設会社、仲介会社など多数の取引先とデータを共有している。今回の流出はサプライチェーン全体に波及するリスクがある。
- 管理組合・入居者情報が流出した場合、管理を委託しているマンション住民全体に被害が及ぶ
- 取引先の担当者情報が流出した場合、ビジネスメール詐欺(BEC)の標的になる
- 不動産業界では個人情報を大量に扱うにもかかわらず、セキュリティ投資が製造業・金融業に比べて遅れている
「自社が同じ攻撃を受けたら、何人分の情報が流出するか」把握していますか?
ランサムウェアに備えるには、まず守るべきデータの棚卸しから。現状のリスクを可視化するセキュリティ診断を実施しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中小企業が学ぶべき5つの教訓
教訓1:身代金を払っても払わなくても情報は流出する
「二重脅迫型」ランサムウェアでは、身代金を支払ってもデータが削除される保証はない。逆に支払わなければ公開される。どちらの選択をしても情報流出のリスクは残る。対策の本質は「支払い判断」ではなく、「そもそもデータを盗まれない仕組み」にある。
教訓2:検知から公表まで時間がかかる=被害は拡大する
穴吹興産のケースでは、攻撃検知から流出確認まで37日間。この間に攻撃者はデータを整理し、リークサイトを準備していた。早期検知と即座の封じ込めが被害規模を左右する。
教訓3:個人情報保護委員会への報告は義務化されている
2022年4月の改正個人情報保護法により、漏洩が発生した場合の個人情報保護委員会への報告と本人通知が義務化されている。報告を怠ると行政処分の対象になる。穴吹興産は適切に報告を行ったが、中小企業の中には報告義務を認識していないケースが多い。
教訓4:バックアップだけでは不十分——データ窃取への対策が必要
バックアップがあればシステムは復旧できるが、盗まれたデータは取り戻せない。暗号化対策(バックアップ)とデータ窃取対策(ネットワーク監視・DLP)の両輪が必要だ。
教訓5:サプライチェーン全体のセキュリティ水準を把握する
取引先1社の被害が自社の顧客情報流出につながる。セキュリティは自社だけの問題ではなく、取引先の対策水準も確認すべきリスクだ。
自社が同じ被害に遭わないためのチェックリスト
以下の項目を確認してほしい。1つでもチェックが付かなければ、早急に対応が必要だ。
- [ ] VPN機器・リモートアクセス環境のファームウェアは最新版に更新されているか
- [ ] バックアップはオフライン(ネットワーク非接続)で保管されているか
- [ ] バックアップからの復元テストを直近6か月以内に実施しているか
- [ ] EDR(Endpoint Detection and Response)を全端末に導入しているか
- [ ] 社内ネットワークの異常通信を検知する仕組み(NDR/SIEM等)があるか
- [ ] 個人情報の保管場所と件数を正確に把握しているか
- [ ] ランサムウェア感染時のインシデント対応手順書が存在し、訓練を実施しているか
- [ ] 個人情報保護委員会への報告手順が文書化されているか
- [ ] 取引先のセキュリティ対策状況を契約時に確認しているか
- [ ] サイバー保険に加入しているか
まとめ
穴吹興産の事例は、ランサムウェア攻撃が「システム停止」から「情報流出」へと被害の本質が変化していることを示した。49.6万人分の個人情報がダークウェブに公開された以上、その情報は永久に回収できない。
中小企業が取るべきアクションは明確だ。バックアップの確保、VPN機器の更新、ネットワーク監視の導入、そしてインシデント対応手順の整備。今日から始められることから、1つずつ実行してほしい。
関連記事:ランサムウェア対策完全ガイド 関連記事:バックアップ3-2-1ルール実践ガイド 関連記事:サイバー保険ガイド 2026年版 関連記事:導入事例一覧
よくある質問(FAQ)
Q1. 穴吹興産の情報流出で、自分の情報が含まれているか確認できますか? A. 穴吹興産は対象者への個別通知を進めています。穴吹興産のマンション購入・賃貸契約・管理サービスを利用したことがある方は、同社の問い合わせ窓口に確認してください。ダークウェブ上の情報を自分で検索することは、マルウェア感染のリスクがあるため推奨しません。
Q2. 身代金は支払うべきですか? A. 警察庁・JPCERT/CC・IPAはいずれも身代金の支払いを推奨していません。支払いは犯罪組織の資金源となり、再攻撃を招く可能性があります。また、支払ってもデータの復旧や削除が保証されるわけではありません。
Q3. 中小企業でもランサムウェアの標的になりますか? A. はい。警察庁の統計では、ランサムウェア被害の約6割が中小企業です。大企業に比べてセキュリティ対策が手薄なため、攻撃者にとって「費用対効果の高い標的」となっています。特にVPN機器の脆弱性を突いた攻撃が多発しています。
Q4. ダークウェブに情報が流出した場合、削除する方法はありますか? A. 事実上、削除は不可能です。ダークウェブ上の情報は複製・拡散されるため、一度公開された情報の完全な回収はできません。被害を最小化するには、流出情報を悪用した不正行為の監視(ダークウェブモニタリング)と、対象者への迅速な通知が重要です。
参考情報
- 穴吹興産株式会社「不正アクセスによる個人情報流出に関するお知らせ」(2026年3月12日)
- 個人情報保護委員会「漏えい等の報告等について」
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」
- IPA「ランサムウェア対策特設ページ」
ランサムウェア対策、自社の現状を把握していますか?
「バックアップはあるが復元テストをしていない」「VPN機器のバージョンを把握していない」——そんな状態では、次の標的はあなたの会社かもしれません。まずはリスクの可視化から始めましょう。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK