概要
アルプスアルパイン株式会社は、外部 VPN システム (Virtual Private Network) への不正アクセスにより、役員・従業員・委託先従業員の一部の個人情報が閲覧された可能性があることを 2026年4月27日に公表しました。対象となり得る情報はログインID・氏名・会社メールアドレスなどであり、パスワードは暗号化済み・金融情報は対象外としています。委託先事業者を経由した侵害という点に注意が必要であり、VPN のセキュリティ管理と委託先アクセス権限の見直しが急務です。
目次
1. 何が起きたか
アルプスアルパイン株式会社は、外部 VPN システムへの不正アクセスを受け、社内システムへのアクセス用に登録された個人情報が外部から閲覧された可能性を公表しました。
CVE番号:未公表(公式発表に記載なし)
対象 VPN 製品・バージョン:未公表(公式発表に記載なし)
注目すべきは、侵害が委託先事業者からの連絡によって発覚した点です。自社での検知ではなく、保守管理を委託していたベンダーが異常を検知し報告したことが端緒となっています。外部 VPN を踏み台とした侵害は、近年多くの企業で発生しており、VPN 製品の脆弱性悪用や認証情報の窃取が主な攻撃手口として知られています。
2. 影響範囲:閲覧された可能性のある情報
対象となり得る情報と対象者は以下のとおりです。
| 情報の種類 | 備考 |
|---|---|
| ログインID(一部社員番号を含む) | 役員・従業員(退職者含む)・委託先従業員の一部 |
| 氏名 | 同上 |
| 会社メールアドレス | 同上 |
| 役職・部門名 | 同上 |
| システムID | 同上 |
対象外の情報:パスワード(暗号化済み)、クレジットカード情報、銀行口座情報
3. インシデントのタイムライン
| 日付 | 出来事 |
|---|---|
| 2026年3月18日 | 委託事業者から不正アクセスの痕跡が確認された旨の連絡を受ける |
| 2026年4月13日 | 調査の結果、サーバーへの不正アクセスが判明。個人情報が閲覧された可能性を確認 |
| 2026年4月27日 | 公式発表 |
| 2026年4月30日 | 本記事公開 |
4. 対応状況
同社はインシデント判明後、以下の対応を実施済みです。
- 当該 VPN システムの利用停止
- セキュリティ設定の見直し
- 外部専門機関による技術的調査の実施
- 関係者へのパスワード変更の通知
- なりすましメール・不審メールへの注意喚起
公表時点では二次被害(不正利用・なりすまし等)は確認されていません。
5. 推奨対応手順
【最優先】VPN のセキュリティ確認
VPN 製品のパッチ・ファームウェアを最新化する
未適用の脆弱性がある場合、不正アクセスの直接的な入口になります多要素認証(MFA)を導入する
VPN 認証に MFA が未設定の場合は早急に導入してくださいVPN アクセスログを点検する
不審なアクセス元 IP・時間帯・アカウントがないか確認します
【委託先管理】第三者アクセスの棚卸し
委託先に付与している VPN アクセス権限を棚卸しする
不要なアカウントは即座に無効化してください委託先のセキュリティ対策状況を確認する
今回のように委託先経由の侵害は増加傾向にあります
【継続監視】
- SIEM・EDR のアラートを確認する
VPN への異常なアクセスパターンがないか監視を強化してください
6. まとめ・YJK からのコメント
今回の事案は、委託先を経由した VPN への不正アクセスという、近年急増しているサプライチェーン型の侵害パターンに該当します。自社の直接的な脆弱性だけでなく、保守管理や運用を委託している外部事業者のセキュリティレベルも自社のリスクとなる点を改めて示しています。
また、VPN 製品は一度設定すると長期間見直されないケースが多く、古いファームウェアや MFA 未設定のまま運用されているケースが少なくありません。今回のインシデントを機に、自社の VPN 運用ポリシーを見直すことをお勧めします。
以下の組織は特に優先度を上げて対応してください:
- 外部 VPN を利用し、委託先にもアクセスを付与している企業
- VPN 製品のパッチ適用・MFA 設定が未実施の環境
- 退職者・元委託先のアカウントが残存している可能性がある組織
YJK では、VPN セキュリティの診断・MFA 導入支援・委託先セキュリティ管理の体制構築を承っております。自社環境への影響確認でお困りの場合は、お気軽にご相談ください。
出典
- USEN ICT Solutions サイバーセキュリティラボ: アルプスアルパイン株式会社、外部VPNシステムに不正アクセス、個人情報閲覧された可能性(2026年4月30日)
- アルプスアルパイン株式会社 公式発表: 社内システムアクセス用の個人情報に対する不正アクセスについて(PDF)(2026年4月27日)