Research
Research

by nicoxz

ソフトバンク8600件の個人情報漏洩、原因と利用者が取るべき対策

by nicoxz
URLをコピーしました
#SoftBank #個人情報漏洩 #セキュリティ #通信事業者 #サイバーセキュリティ

はじめに

ソフトバンクは2026年1月27日、携帯電話サービスにおいて個人情報が漏洩した可能性があると発表しました。契約者向けサイト「My SoftBank」で他人の氏名や住所が表示されたり、メールの送信元が他人のものに入れ替わるなどの不具合が発生し、影響は延べ約8,600件に及ぶとされています。

今回の事案はサイバー攻撃によるものではなく、プロキシサーバーのソフトウェア不具合が原因でした。本記事では、発生した問題の詳細と原因、そして利用者が確認・対応すべきポイントについて解説します。

何が起きたのか

他人の情報が表示される不具合

今回の問題は、大きく分けて2種類の不具合が発生しました。

1つ目は、「My SoftBank」での情報表示に関する問題です。回線認証を利用してMy SoftBankにログインしたユーザーが、自分の契約情報を確認しようとした際に、他人の氏名、住所、生年月日、電話番号、契約内容、請求金額などが表示されるケースがありました。

2つ目は、メール送信に関する問題です。ソフトバンクの「S!メール」(MMS)およびワイモバイルのMMSでメールを送信した際、メールの本文内容は正常でしたが、送信元のメールアドレスや携帯電話番号が他人のものに入れ替わって送信されてしまう事象が発生しました。

影響件数の内訳

ソフトバンクの発表によると、My SoftBankでの情報表示に関する問題が2,019件、メールの送信元入れ替わりに関する問題が2,209件発生しました。その他の関連事象を含め、延べ8,375件に影響が及んだとされています。

なお、2026年1月13日以前についても不具合は存在していましたが、その期間の影響件数は最大でも200件程度と見積もられています。

原因はプロキシサーバーの不具合

ソフトウェアの欠陥が引き金

今回の事案の原因は、プロキシサーバーのソフトウェアに存在した不具合でした。プロキシサーバーとは、インターネットと社内システムの間で通信を中継する役割を担うサーバーです。

ソフトバンクの説明によると、2025年9月25日に導入したプロキシサーバーのソフトウェアに不具合があり、複数の処理が同時に多数発生する際に、一部の顧客が一時的に他の顧客として扱われてしまう状態になっていました。

設定変更で発生頻度が増加

問題が表面化したのは2026年1月13日です。この日に実施されたネットワーク設備の設定変更により、不具合の発生頻度が高まりました。同日、ユーザーから「他人のものとみられる情報が表示された」という申告があり、調査の結果、1月19日に原因が判明しました。

重要なのは、これがサイバー攻撃や不正アクセスによるものではなかったという点です。外部からの攻撃ではなく、システム内部の不具合が原因であったため、利用者のIDやパスワードが盗まれたわけではありません。

現在の対応状況

不具合は解消済み

ソフトバンクは、不具合の原因となったプロキシサーバーに対するソフトウェアの修正を完了しており、現在はシステムが正常に稼働していることを確認しています。

再発防止策として、データ内容(要求データと応答データ)の整合性を確認する検証機能の強化などが実施されています。

影響を受けた利用者への対応

影響を受けた可能性のある利用者に対しては、ソフトバンクから個別に連絡が行われる予定です。自分の情報が他人に見られた可能性がある場合や、身に覚えのないメール送信があった場合は、ソフトバンクのカスタマーサポートに問い合わせることが推奨されています。

利用者が確認すべきポイント

不審な利用履歴がないか確認

今回の事案では、回線認証を利用する他社サービスにおいても、異なる携帯電話番号で認証が行われた可能性があります。金融機関やショッピングサイトなど、携帯電話番号での認証を利用しているサービスで、身に覚えのない利用履歴がないか確認しておくとよいでしょう。

メールの送受信履歴を確認

S!メール(MMS)を利用している場合、送信したメールが他人の名前で届いてしまった可能性や、逆に他人が送信したメールが自分の名前で届いている可能性があります。不審なメールや、心当たりのない問い合わせがないか確認しておくことをお勧めします。

パスワードの変更は必須ではないが推奨

今回の事案はサイバー攻撃ではないため、パスワードが流出したわけではありません。ただし、セキュリティ意識を高めるという観点から、定期的なパスワードの見直しや、二段階認証の設定を確認しておくことは有効です。

通信事業者に求められる対策

個人情報保護法への対応

2022年4月施行の改正個人情報保護法により、個人情報の漏洩等が発生した際の報告義務が強化されています。一定の基準を満たす漏洩事案については、個人情報保護委員会への報告が義務付けられており、通信事業者には厳格な対応が求められています。

システム開発・運用の品質向上

今回のような不具合を防ぐためには、システム開発時のテスト強化や、本番環境への変更適用時の影響確認の徹底が重要です。特に、認証や個人情報を扱うシステムについては、複数の処理が同時に発生した場合の挙動確認など、より厳密なテストが必要となります。

監視体制の強化

不具合の発生を早期に検知するためには、システムの監視体制強化も欠かせません。今回の事案では、ソフトウェア導入から問題発覚まで約4カ月が経過しており、この間に発生した影響は小規模ながらも存在していました。異常検知の仕組みを強化することで、被害の拡大を防ぐことができます。

まとめ

ソフトバンクで発生した今回の個人情報漏洩事案は、サイバー攻撃ではなく、システム内部のソフトウェア不具合が原因でした。延べ約8,600件という影響規模は小さくありませんが、すでに不具合は解消されており、現在は正常にシステムが稼働しています。

利用者としては、不審な利用履歴やメールがないか確認し、心当たりのない請求や問い合わせには注意を払うことが重要です。通信事業者には、個人情報を扱う企業としての責任を果たすべく、システム品質の向上と監視体制の強化が求められます。

参考資料:

関連記事

最新ニュース