- 🚨【緊急】スナップスナップ等利用者へ:今すぐパスワード総点検を
- 1. 事態の概要:7月の「不正アクセス」から11月の「ダークウェブ声明」へ
- 2. 利用者が「今すぐ」やるべき2つの対策
- 3. 【専門家解説】今回のインシデント、3つの「核心」
- 4. まとめ:不安を「正しい行動」に変える
🚨【緊急】スナップスナップ等利用者へ:今すぐパスワード総点検を
「スナップスナップ」や「オールスポーツコミュニティ」など、学校行事やスポーツイベントの写真販売サービスを運営する株式会社フォトクリエイトが、2025年11月14日、保有する個人情報がダークウェブ上で取引されている可能性について公式に発表しました。
この度、個人情報漏えいのおそれを確認したことにより、該当の方に個人情報保護法に基づいてお知らせをお送りさせていただきます。 ... 2025年11月9日の時点で、ダークウェブ上において、弊社が保有する個人情報を保有している旨の声明があることを新たに確認いたしました。
これは、2025年7月末に「フィッシングメールが送信されている」としていた事案が、より深刻な「個人情報漏洩(氏名、住所、パスワード等)」へと発展したことを意味します。
私は情報システム部のセキュリティ担当として、日々こうしたインシデントと向き合っています。今回の事態を受け、セキュリティ専門家の視点から、この発表の「本当の危険性」と、利用者が「今すぐ」何をすべきかを緊急で解説します。
1. 事態の概要:7月の「不正アクセス」から11月の「ダークウェブ声明」へ
まず、何が起きたのかを時系列で正確に把握します。
【一次情報・ファクト】
- 2025年7月31日(当初公表):
- Webサーバーが不正アクセスを受け、登録されたメールアドレス宛にフィッシングメールが送信されている事象を公表。
- この時点では、漏洩情報の詳細は調査中でした。
- 2025年11月9日(事態の深刻化):
- 外部専門機関による調査の過程で、ダークウェブ(闇サイト)上で「フォトクリエイトの個人情報を保有している」という攻撃者(あるいは第三者)の声明を確認。
- 結果(漏洩のおそれがある情報):
- 氏名、住所、メールアドレス、パスワード、電話番号、生年月日、性別、ニックネーム
- 原因:
- 利用していたソフトウェアの脆弱性
(出典:弊社サーバーへの不正アクセスにつきましてご報告(2025年11月14日更新)|株式会社フォトクリエイト)
【専門家としての分析】事態の「質」が変わった
当初の「フィッシングメール」だけでも問題ですが、11月の「ダークウェブ声明」で事態の深刻度は一変しました。
これは、盗み出された情報が「攻撃者の手元で売買(あるいは脅迫)のテーブルに乗った」ことを意味します。
公式発表は「漏えいのおそれ」という慎重な表現を使っていますが、これは法的な表現です。私たちセキュリティ専門家は、ダークウェブで声明が出た時点で「漏洩は確定(黒)」と判断し、最悪の事態を想定して行動します。
2. 利用者が「今すぐ」やるべき2つの対策
漏洩した可能性のある情報(氏名、メアド、住所、電話番号、パスワード)が揃うと、攻撃者にとって非常に「価値の高い」リストとなります。利用者の皆様は、以下の2つの対策を今すぐ実行してください。
対策1:フォトクリエイトのパスワード変更(必須)
フォトクリエイト側は、パスワード変更を必須とする措置を講じています。
ご使用中のパスワードにつきまして漏えいのおそれが確認されましたため、不正利用等の二次被害が起きる可能性がございます。お手数おかけして申し訳ございませんが、パスワード変更を必須とする措置を講じておりますのでご対応のほどお願い申し上げます。
もし、まだ対応していない場合や、案内を見逃している場合は、直ちにパスワードを変更してください。
対策2:【最重要】他サービスで「同じパスワード」を使っていないか総点検
今回のインシデントで最も危険なのは、この「対策2」を怠ることです。
【ファクトに基づく考察】(専門家としての分析) 今回漏洩した「メールアドレス」と「パスワード」のセットは、「リスト型攻撃」の格好の標的となります。
- リスト型攻撃とは?: あるサービスA(今回の場合フォトクリエイト)から漏洩したID(メアド)とパスワードのリストを使い、他の無関係なサービスB、C、D(例えば、Amazon、楽天、X (旧Twitter)、銀行など)に対しても、同じ組み合わせでログインを試行する攻撃です。
多くの人は、複数のサービスで同じメールアドレスとパスワードを使い回しがちです。もしあなたがフォトクリエイトと全く同じパスワードを他の重要なサービス(特にネット通販や金融機関)で使っていた場合、攻撃者はそのサービスにも簡単に不正ログインできてしまいます。
漏洩した氏名や住所、生年月日と組み合わせることで、あなたになりすまして商品を購入したり、金銭を窃取したりする「二次被害」に直結します。
今すぐ、心当たりのある全てのサービス(特に重要なもの)で、フォトクリエイトと同じパスワードを使っていないか点検し、該当する場合は「全く異なる、複雑なパスワード」に変更してください。
解決策:人間の記憶力に頼らない「1Password」の導入
とはいえ、「全てのサイトで違うパスワードを設定し、それを覚えておく」ことは人間の脳の構造上、不可能です。その限界が、今回の被害を拡大させる「使い回し」の根本原因です。
私はセキュリティの専門家として、パスワードマネージャー『1Password』の利用を強く推奨しています。 1Passwordを使えば、複雑で強固なランダムパスワードを自動生成し、全てを一括管理できます。あなたが覚える必要があるのは「マスターパスワード」ただ一つだけです。
私がなぜ1Passwordを「最強のセキュリティツール」として推奨するのか、具体的な設定方法とメリットについては、以下の記事で徹底解説しています。この機会にぜひ導入を検討してください。
【関連記事】
- 【専門家が比較】パスワード管理ツールおすすめ5選|OS標準機能と専用ソフト(1Passwordなど)の違いは?
- OS標準パスワード管理で十分?専門家が専用ツール(1Passwordなど)を推奨する5つの理由
3. 【専門家解説】今回のインシデント、3つの「核心」
セキュリティ担当者として、今回の事案をさらに深く分析します。
核心1:「ソフトウェアの脆弱性」という原因
【ファクトに基づく考察】(専門家としての分析) 原因は「利用していたソフトウェアの脆弱性」とされています。これは、OS、Webサーバーのミドルウェア(Apache, Nginx等)、あるいはアプリケーション(CMSや独自開発のプログラム)に、セキュリティ上の「穴」があったことを意味します。
攻撃者はその「穴」を突いてサーバー内部に侵入し、不正なプログラム(情報を盗み出すためのもの)を設置したと推測されます。
- 考えられる背景(推測):
- パッチ(修正プログラム)の適用が遅れていた。
- 利用していたソフトウェア(ライブラリ等)が古く、サポートが終了していた(EOL)。
- ゼロデイ攻撃(未知の脆弱性)の可能性もゼロではないが、多くは既知の脆弱性(パッチ未適用)が狙われます。
こうした攻撃は、WAF(Web Application Firewall)を適切に導入・運用することで防げる可能性が高まります。企業側には、日々の脆弱性情報のキャッチアップと迅速なパッチ適用、そしてWAFのような多層防御が強く求められます。
(関連記事)
核心2:「クレジットカード情報」の非保持化は“不幸中の幸い”
【ファクトに基づく考察】(専門家としての分析) 今回の発表で、唯一にして最大の「救い」は以下の記述です。
なお、弊社ではお客さまのクレジットカード情報は一切保持しておりません。そのため、本事案に起因するクレジットカード情報の漏えいはございません。
これは「クレジットカード情報の非保持化」と呼ばれるセキュリティ設計が功を奏した結果です。おそらく、決済は外部の決済代行サービス(Stripe, GMO, SBペイメントなど)に完全に委託し、フォトクリエイトのサーバーにはカード番号や有効期限を一切保存しない(あるいはトークン化する)仕組みになっていたのでしょう。
これは企業として高く評価できる点です。 もし、ここにクレジットカード情報まで含まれていた場合、被害は「二次被害のおそれ」どころではなく、直接的な金銭被害が即時発生する大惨事となっていました。
私たちが普段利用するネットサービスを選ぶ際も、「クレジットカード情報を適切に扱っているか(非保持化しているか)」は、信頼できるサービスかを見極める重要なポイントとなります。
核心3:侵入される前提の「ゼロトラスト」思考の重要性
【推論・仮説】 7月に不正アクセス(侵入)を許してから、11月にダークウェブでの声明(情報売買)が確認されるまで、約3ヶ月半の期間があります。この間、攻撃者はサーバー内部で情報を窃取し、外部に持ち出す活動を隠れて行っていた可能性があります。
今回の「脆弱性」による侵入は、「境界防御」(Firewallなど)が破られた例と言えます。 現代のセキュリティ対策は、「侵入はいつか必ず起きる」という前提(ゼロトラスト)に立ち、たとえ侵入されても「情報を盗まれない」「すぐに検知・対応できる」仕組みを構築することが主流です。
(関連記事)
4. まとめ:不安を「正しい行動」に変える
今回のフォトクリエイトの事案は、「パスワードの使い回し」がいかに危険であるかを再認識させる、典型的な事例です。
- 利用者として今すぐやること:
- フォトクリエイトのパスワードを変更する。
- (最重要)他の全サービスで、パスワードの使い回しがないか総点検し、該当すれば即時変更する。
- 今後は、サービスごとに全く異なるパスワードを設定するため、1Password などの管理ツールを導入する。
- フォトクリエイトから(あるいは装った)不審なメールや請求メールに注意する。
企業は個人情報保護委員会や警察と連携して対応を進めています。私たち利用者は、不安な気持ちを「自分自身のアカウントを守るための具体的な行動」に変え、冷静かつ迅速に対応しましょう。
引用元
【関連記事一覧】
- 【CISSPが解説】パスワード管理とMFA(多要素認証)の全知識|安全な認証戦略の完全ガイド
- 【専門家が比較】パスワード管理ツールおすすめ5選|OS標準機能と専用ソフト(1Passwordなど)の違いは?
- OS標準パスワード管理で十分?専門家が専用ツール(1Passwordなど)を推奨する5つの理由
- iCloudキーチェーンの安全な使い方と限界|専門家が教えるリスクとは?
- Googleパスワードマネージャーの安全性は?便利な使い方と弱点を解説
- Windows 資格情報マネージャーで十分?セキュリティ上の注意点
- 1Passwordレビュー|情シス担当が安全性と使い方を解説
- パスワードポケット レビュー|買い切り型パスワード管理ソフトの実力は?
- パスワード備忘録3 レビュー|シンプルで簡単なパスワード管理ソフト
