株式会社はるやまホールディングスは2025年10月24日、6月26日に検知した不正アクセスに関する最終報告を発表した。
同社グループのサーバーに外部から不正アクセスがあり、複数のサーバーで業務データや業務用ソフトウェアが暗号化された。外部専門機関による調査の結果、外部への個人情報流出の痕跡は確認されなかったが、閲覧された可能性を完全に否定できないため、最大18,053件の個人情報について法令上の通知を実施した。
対象情報は氏名、郵便番号、住所、電話番号、メールアドレスで、クレジットカード情報は含まれない。再発防止策として不正アクセスの入口となったネットワーク機器の廃止、新たなセキュリティ対策ソフトの導入、監視強化を既に実施済みである。
2026年3月期業績への影響は軽微と見込まれる。
From: 
当社グループにおける不正アクセスによるシステム障害に関するお知らせ(最終報)
【編集部解説】
2025年上半期、日本国内でのランサムウェア攻撃は116件に達し、2022年の記録的水準に並びました。アサヒグループホールディングスやHOYAといった大手企業も同様の被害を受けており、もはや企業規模に関係なく標的になる時代です。
注目すべきは、調査完了までに約4ヶ月を要した点でしょう。6月26日の検知から10月24日の最終報告まで、外部専門機関との連携による徹底した調査が行われました。個人情報保護法では、事案に応じて速やかな報告が求められていますが、はるやまは法令を遵守しつつ、慎重に事実関係を精査したことが分かります。
特筆すべきは「外部への流出痕跡は確認されていない」という結論です。しかし、閲覧された可能性を完全に否定できないため、18,053件の個人情報について通知を実施しました。この透明性の高い対応は、企業がインシデント対応において取るべき姿勢を示しています。
技術的な観点から見ると、侵入経路となったネットワーク機器の廃止が再発防止策として挙げられています。VPNやファイアウォールの脆弱性は、2024年のランサムウェア攻撃の58%を占める主要な侵入経路であり、2024年第3四半期だけでもVPN経由の攻撃が28.7%に達しています。はるやまの事例でも侵入経路となったネットワーク機器が廃止されており、同様の脆弱性が狙われた可能性が高いと言えます。
今回の攻撃による業績への影響は「軽微」と見込まれていますが、実店舗の営業は継続できたものの、オンラインショップやポイントサービスが停止した期間の機会損失は無視できません。デジタル化が進む小売業界において、システムの可用性は売上に直結するため、その影響は決して小さくありません。
より広い視点で捉えれば、日本企業は歴史的に英語力の低さやデジタル化の遅れが「意図せざる防御壁」となっていましたが、AIの進化により、言語の壁を越えた攻撃が容易になっています。暗号通貨の普及も身代金要求を容易にし、攻撃者側のハードルを下げました。
はるやまの事案から学ぶべきは、多層防御の重要性です。同社は新たなセキュリティ対策ソフトの導入や監視強化などを実施しましたが、これらは本来、攻撃を受ける前に整備されているべき基本的な対策と言えます。
日本では2026年にアクティブサイバーディフェンス法が施行される予定で、国家レベルでのサイバー防御戦略が強化されます。しかし、企業レベルでの対策が追いつかなければ、サプライチェーン全体のリスクは高まり続けるでしょう。
【用語解説】
ランサムウェア
データやシステムを暗号化して使用不能にし、復元と引き換えに身代金を要求するマルウェアである。スパムメールやソーシャルエンジニアリング、ネットワーク機器の脆弱性を経路として侵入し、組織の業務を停止に追い込む。近年は二重脅迫型と呼ばれる、データを窃取してから暗号化し、公開を脅迫材料にする手法が主流となっている。
個人情報保護委員会
個人情報保護法を所管する行政機関で、委員長および委員8名で組織される。事業者における個人情報の取り扱いの監督、個人情報漏えい事案の報告受理、苦情処理に関するあっせんなどを行う。漏えい等の報告については、個人情報保護法に基づき、一定規模以上の事案について事業者から報告を受けることが義務付けられている。
VPN(Virtual Private Network)
仮想プライベートネットワークの略称で、公衆回線を通じて安全に社内ネットワークに接続するための技術である。しかし、VPN機器の脆弱性はランサムウェア攻撃の主要な侵入経路となっており、2024年には攻撃の58%がVPNやファイアウォールの脆弱性を経由していた。
多層防御
複数の異なるセキュリティ対策を組み合わせて、攻撃者の侵入を段階的に防ぐ手法である。単一のセキュリティ対策が突破されても、他の層で攻撃を食い止めることができる。ネットワーク層、アプリケーション層、データ層など、各層に適切な防御策を配置することが求められる。
【参考リンク】
株式会社はるやまホールディングス 公式サイト(外部)
岡山市に本社を置く紳士服専門チェーン企業。「はるやま」「Perfect Suit FActory」などのブランドで全国展開
個人情報保護委員会(外部)
個人情報保護法を所管する行政機関の公式サイト。個人情報の取り扱いに関するガイドラインや相談窓口を提供
【参考記事】
Japanese companies brace themselves for more attacks as cybercrimes climb(外部)
2025年上半期に日本国内で116件のランサムウェア攻撃が発生し、2022年の記録的水準に並んだことを報告
Ransomware Surge Hits Japanese Firms, Exposing Weak Cyber Defenses(外部)
日本企業のサイバーセキュリティ対策の脆弱性を指摘し、2025年のランサムウェア攻撃急増の実態を報じる
Compromised VPNs Top Ransomware Entry Point(外部)
2024年のランサムウェア攻撃の58%がVPNやファイアウォールの脆弱性を経由していたという統計を公表
Security Gaps in VPN Infrastructure Drive Ransomware Surge(外部)
2024年第3四半期にVPN経由のランサムウェア攻撃が28.7%に達したことを報告している
AI-optimized cybercrime increasingly targeting Japan(外部)
AIの進化により日本企業を標的とするサイバー攻撃が増加し、言語の壁が機能しなくなっていると分析
【編集部後記】
この事案は、決して他人事ではありません。調査によれば、日本企業の63.8%が「他社がサイバー攻撃を受けた」ことをきっかけにセキュリティ対策を強化しているという現実があります。つまり、多くの企業が「自分たちが被害に遭うまで」本格的な対策に着手していないのです。
VPNやファイアウォールの更新状況、パスワードポリシー、従業員へのセキュリティ教育—これらは今日からでも見直せる項目です。あなたの職場では、どのような対策が取られていますか?そして、それは十分だと思いますか?未来を守る第一歩は、今日の小さな気づきから始まります。
