結論:狙われたのは「転職サービス」ではなく「ログインフォーム」。自社に落ち度がなくても被害は成立する
転職サービス2社が相次いでリスト型攻撃(クレデンシャルスタッフィング)による不正ログイン被害を公表した。キャリアデザインセンターの「女の転職type」では 5月26日から28日にかけて1,141,828件のログイン試行が行われ、38,442件(ユニークユーザー18,253名)で不正ログインが成立。エン株式会社の「ミドルの転職」でも 5月26日から6月2日にかけて2,503件の不正ログイン が確認された。攻撃開始日は5月26日で完全に一致 しており、同一の攻撃インフラまたはキャンペーンが業界を横断して使い回された可能性が高い構図だ。
重要なのは、両社とも 自社からID・パスワードが流出した事実は確認されていない 点である。リスト型攻撃は、他のサービスから漏えいしたID・パスワードの組を機械的に試す手口だ。つまり ユーザーがパスワードを使い回している限り、サイト側に脆弱性がなくても不正ログインは成立する。防げるかどうかは、MFA(多要素認証)・試行監視・漏えいパスワード照合といった「使い回しを前提にした防御」を実装しているかで決まる。
会員ログインを持つサイト——EC、会員制サービス、採用サイト、ポイントプログラム——を運営する企業は、規模を問わず同型攻撃の対象である。攻撃者にとって重要なのは業種ではなく、手元のリストが刺さるログインフォームが存在することだからだ。
押さえるべき1点:リスト型攻撃への耐性は「自社は漏らしていないか」ではなく「他社が漏らした認証情報で入られない作りになっているか」で決まる。この問いに即答できないなら、自社サイトは今回の2社と同じ条件に置かれている。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
2社の被害状況比較:開始日が一致した「業界横断攻撃」
両社の公表内容を整理すると次のとおりだ。
| 項目 | 女の転職type(キャリアデザインセンター) | ミドルの転職(エン株式会社) |
|---|---|---|
| 攻撃期間 | 2026年5月26日〜28日 | 2026年5月26日〜6月2日 |
| ログイン試行 | 1,141,828件 | 公表なし |
| 不正ログイン | 38,442件(ユニークユーザー18,253名) | 2,503件 |
| 閲覧されたおそれ | 会員情報ページ | 会員情報ページ |
| 自社からの認証情報流出 | 確認されず(パスワードはハッシュ化保存) | 確認されず(パスワードはハッシュ化保存) |
| 主な対応 | 外部アクセス遮断、全会員の強制ログアウト、対象アカウントのパスワード初期化 | 不審IPの遮断、対象ユーザーのパスワードリセット |
| 当局対応 | 個人情報保護委員会へ報告 | 警察および個人情報保護委員会へ報告 |
| 公表日 | 5月30日 | 6月5日 |
女の転職typeの数字からは、試行114万件に対して成功38,442件——約3.4%の確率で「他社から漏れたパスワード」がそのまま通った ことが読み取れる。パスワード使い回しの実態を示す生々しい数字であり、自社の会員にも同じ割合で使い回しが存在すると考えるのが妥当だ。
転職サービスの会員情報は氏名・連絡先に加えて職歴・希望条件など機微性の高い情報を含む。閲覧された場合の本人への影響が大きく、両社とも個人情報保護委員会への報告に至っている。漏えい等が発生した(またはそのおそれがある)場合の報告・本人通知の実務は個人情報保護法の漏えい等報告ガイドで整理している。さらに現在、個人情報保護法には課徴金制度の導入が閣議決定されており(改正個情法・課徴金の解説)、漏えい対応の巧拙が経営リスクに直結する流れは強まる一方だ。
なぜ自社事か:攻撃インフラは使い回され、次のリストは明日届く
今回の事案が示したのは、攻撃の「水平展開の速さ」だ。開始日が完全一致した2社への攻撃は、同じリスト・同じツール・同じインフラが複数の標的に同時に向けられたことを示唆する。攻撃者の視点では、リストを1本入手すれば、あとはログインフォームを持つサイトに片っ端から試すだけでよい。今回は転職サービスだったが、同じリストは明日、EC・会員制メディア・採用マイページに向かう。
特にリスクが高いのは、自社開発の会員機能を持つサイトだ。大手プラットフォームは不正ログイン検知やボット対策を標準で備えるが、スクラッチ開発・受託開発の会員サイトでは、MFA・レート制限・試行監視が「要件に入っていなかったから無い」ケースが珍しくない。認証は「ログインできること」を確認して終わりがちな機能であり、「異常なログインを止められること」は明示的に要求しなければ実装されない。
漏えいした認証情報がダークウェブ等で流通し、攻撃リストとして再利用される構造への対処はダークウェブ監視と漏えいクレデンシャル対策で解説している。また、SaaS側でもパスワード単独認証を廃止する動きが進んでおり、Salesforceが進めるフィッシング耐性MFAの強制化(解説記事)は、認証強化が「任意のオプション」から「前提」に変わったことを示している。
自社サイト点検チェックリスト:リスト型攻撃対策7点
会員ログインを持つサイトの運営企業は、次の7点を開発部門・委託先ベンダーに確認してほしい。
-
MFA(多要素認証)を提供しているか。少なくとも管理者・高リスク操作には必須化し、一般会員にも段階的に展開する
-
ログイン試行のレート制限・自動化検知があるか。同一IP・同一アカウントへの連続試行を遮断し、ボットによる大量試行を検知できるか
-
漏えいパスワード照合を行っているか。登録・変更時に既知の漏えいパスワードリストと照合し、使い回しの危険なパスワードを拒否する
-
不審ログインの本人通知があるか。新しい端末・地域からのログインをユーザーに通知し、本人が異常に気づける導線を作る
-
認証ログを保全・監視しているか。試行数の急増を検知してアラートを上げる仕組みがなければ、今回の2社のような「攻撃中の検知」はできない
-
パスワードリセット・アカウント復旧フローは安全か。攻撃者がリセット機能を悪用して乗っ取る経路を塞ぐ
-
発生時の対応手順が決まっているか。遮断・強制ログアウト・対象特定・個人情報保護委員会への報告(速報は発覚からおおむね3〜5日以内)・本人通知までの手順と責任者を事前に定める
チェックの勘所:7点のうち1〜4は「攻撃を成立させない」対策、5〜7は「成立しても被害を最小化する」対策だ。今回の2社は5〜7が機能して早期遮断・公表に至った。1〜4が薄いまま5〜7も無いサイトは、攻撃されたことに気づくことすらできない。
よくある質問(FAQ)
Q. パスワードをハッシュ化して保存していれば安全ではないのか? A. ハッシュ化は「自社のDBから漏れたときにパスワードを読まれない」ための対策であり、リスト型攻撃には効かない。攻撃者は他社から漏れた平文の認証情報を使い、正規のログイン手続きでそのまま入ってくるからだ。今回の2社もハッシュ化保存を実施しており、それでも計4万件超の不正ログインが成立した。防御の主役はMFA・試行監視・漏えいパスワード照合である。
Q. 自社サイトが攻撃されているかどうかは、どうすれば分かるのか? A. 認証ログを見ることに尽きる。ログイン試行数の推移、失敗率の急増、特定IPレンジからの集中アクセスを監視していれば、リスト型攻撃は比較的検知しやすい。逆に認証ログを取っていない・見ていないサイトでは、不正ログインの成立後もユーザーからの問い合わせまで気づけないことが多い。まず「ログがあるか」「誰が見ているか」を確認してほしい。
Q. MFAを導入すると会員の離脱が増えるのではないか? A. 全会員一律の強制が唯一の選択肢ではない。新しい端末からのログイン時のみ追加認証を求めるリスクベース認証、機微情報の閲覧・変更時のみ要求する段階的適用など、体験への影響を抑えた設計が一般化している。「離脱が怖いから何もしない」と「全員に毎回強制」の二択ではなく、リスクに応じた設計をベンダーと詰めるべきだ。
Q. 被害が出た場合、個人情報保護委員会への報告は必須なのか? A. 不正ログインにより個人データが閲覧された(そのおそれがある)場合、漏えい等として報告・本人通知の義務対象になり得る。今回の2社もいずれも個人情報保護委員会へ報告している。「おそれ」段階で判断が必要になるため、発生してから調べるのではなく、報告要否の判断フローを事前に用意しておくことが重要だ。
社内で今日確認する実務チェック
この記事のテーマを自社に当てはめるときは、次の順で確認する。第一に、対象製品・対象バージョン・対象サービスが資産台帳に載っているか。第二に、インターネットや不要な社内セグメントから到達できないか。第三に、更新・緩和・監視の担当者と期限が明確か。第四に、委託先やクラウド運用先が関係する場合、回答を口頭ではなくチケットやメールで記録しているか。第五に、対応後にバージョン・設定・ログで完了を確認したかである。
脆弱性対応で最も危険なのは、「使っているか分からない」「担当が分からない」「ベンダーに任せているはず」という状態だ。今回の記事を読んだ時点で対象有無を即答できないなら、それ自体が改善テーマである。個別のパッチ適用だけでなく、資産台帳、脆弱性通知の受信経路、緊急対応の承認権限まで点検したい。
GXOへ相談する前に整理しておくと早い情報
相談前には、対象製品名、バージョン、設置場所、外部公開の有無、管理者、保守契約、更新可能な時間帯、過去の障害履歴を分かる範囲でまとめる。すべて揃っていなくてもよいが、「分からない項目」が多いほど、最初の支援はパッチ作業ではなく棚卸しと露出確認から始めるべきである。
30日で整える脆弱性対応ロードマップ
初日から3日目までは、対象有無の確認と暫定緩和に集中する。資産台帳、EDR/MDM、クラウド管理画面、保守ベンダーへの照会を使って、対象製品がどこにあるかを洗い出す。対象が見つかった場合は、外部公開の停止、アクセス制限、管理画面のIP制限、監視強化など、更新前にできる緩和策を先に入れる。
4日目から10日目までは、更新・設定変更・影響確認を進める。業務影響が大きい製品では、検証環境で更新手順を確認し、失敗時の切り戻し手順を用意する。更新後はバージョン表示だけでなく、実際に脆弱な経路が閉じているか、ログに不審なアクセスが残っていないかを確認する。
11日目から30日目までは、再発防止に使う。通知を誰が受けるか、KEVやJPCERT/CCなどの情報をどう優先度付けするか、休日・夜間の緊急判断を誰が承認するかを決める。今回のような高リスク通知に対して、次回は「対象有無を24時間以内に答えられる」状態を目標にする。
いつGXOに相談すべきか
-
自社開発・受託開発の会員サイトにMFA・レート制限・試行監視が実装されているか即答できない
-
認証まわりの実装を点検したいが、何をどう診断すべきか社内に知見がない
-
不審なログイン試行の急増や不正ログインの痕跡があり、遮断・調査・報告対応を急ぎたい
GXOは、Webアプリケーション脆弱性診断による認証・セッション管理の点検、認証強化(MFA・リスクベース認証)の設計・改修支援、インシデント対応支援による攻撃発生時の遮断・調査・当局報告の伴走を提供している。リスト型攻撃は「いつ来るか」ではなく「来たとき止まるか」の問題だ。点検段階からの相談に対応する。→ 相談はこちら
関連記事
参考資料
-
株式会社キャリアデザインセンター「転職サイト『女の転職type』における不正アクセス発生によるお客様の個人情報流出の可能性のお知らせとお詫びについて(2026年5月30日)」
-
ITmedia NEWS「女性向け転職サイトで3万8000件の不正ログイン 『女の転職type』にリスト型攻撃」(二次情報)
本記事は2026年6月12日時点の公開情報をもとに作成。両社とも調査継続中であり、被害範囲・原因の詳細は更新される可能性がある。各社の一次情報の最新版を必ず確認すること。
あなたの会員サイト、「他社から漏れたパスワード」で入られない作りですか
認証・セッション管理の脆弱性診断、MFA・試行監視・漏えいパスワード照合の実装支援、攻撃発生時の遮断・調査・当局報告まで一気通貫で支援します。リスト型攻撃は規模を問わず全ての会員サイトが対象です。
※ 営業電話はしません | オンライン対応可 | 緊急時は最短当日対応