NTTPC、WebARENAで不正アクセスを確認
NTTPCコミュニケーションズは2026年6月23日、法人向けホスティングサービス「WebARENA」において、大容量ファイル転送機能と「WebARENA SuiteX」の一部サーバが不正アクセスを受けたことを公表した。同社によると、大容量ファイル転送機能では、契約者がアップロードした電子ファイル4463件などが漏えいした可能性が「完全には否定できない」状態にある。システム全体の再構築を進めており、サービス再開は12月ごろを予定している。
大容量ファイル転送機能の被害詳細
不正アクセスは4月29日深夜、外部からの攻撃とみられる通信が断続的に発生したことで発覚。サーバへのアクセスを遮断し、サービスを停止した。調査の結果、4月21日から不正アクセスの痕跡が確認された。影響を受けた契約者数は1510件、認証ログ(メールアドレス、認証日時)のユニークメールアドレスは7446件(2019年3月5日~2026年4月30日)、契約者がアップロードした電子ファイルは4463件(2026年4月19日~2026年4月30日)に上る。
漏えいした可能性がある情報は、認証ログ(メールアドレス、認証日時)、アップロード関連情報(日時、IPアドレス、ファイル名、ダウンロード用パスワード、ダウンロード用URL、メッセージ)、アップロード操作ログ(日時、メールアドレス、IPアドレス、操作内容)、Webサーバログ(接続元IPアドレス、接続日時)など。同社は現在のところ情報の不正利用や二次被害は確認していないが、対象サーバに情報が格納されていた契約者には、契約IDを記載した上で順次個別に連絡する。フィッシングなどの不審なメールとの見間違いを防ぐため、送信元や内容を確認した上での対応を求めている。
情報漏えいの可能性を完全には否定できず
同社は「情報漏えいを示す痕跡は確認していないが、その可能性を完全に否定できるものではない」としている。サービス再開に向けては、これまでの環境を見直し、システム全体の再構築を進めている。安全性を十分に確保する必要があるため、再開は12月ごろをめどにし、具体的な時期は確定次第あらためて案内する。
大容量ファイル転送機能は、容量の大きいファイルをオンラインストレージ上に保存し、URLとパスワードを通知することでファイルをやりとりできる機能。1回の送信で最大1GB(5ファイル)まで送信でき、アップロード・ダウンロードともにHTTPSで暗号化されている。
WebARENA SuiteXの一部サーバでも不正アクセス
WebARENA SuiteXの一部サーバ(dc70.etius.jp)でも、5月10日に外部からの攻撃とみられる通信が断続的に発生。サーバへのアクセスを遮断してサービスを停止し、調査したところ、第三者による不正アクセスの痕跡を確認した。攻撃を受けたサーバでは、同社のシステム管理上の暗号化された情報の一部が第三者に閲覧されていた。また、7契約の顧客領域に不審なファイルが設置された痕跡もあった。
サーバに格納されていた情報は、Webコンテンツ(データベース情報含む)、メールコンテンツ、管理者アカウント・パスワード、Webアカウント・パスワード、メールアカウント・パスワード、メーリングリスト情報、Webアクセスログ、FTPログなど。格納されていた件数は、契約数が385、契約者が管理するメールアカウント数が8203件、契約者が管理するWebアカウント数が269件。顧客情報の漏えいを示す痕跡や二次被害は現在のところ確認していない。
同社はこのサーバについて、「将来的なリスクを実効的に排除する観点から、同一環境でのサービス再開は適切ではない」と判断。契約を終了する方針で、代替となるSuiteX環境は希望する契約者への提供を開始している。
関連する情報漏えい事例
近年、国内のホスティングサービスや通信事業者における不正アクセス被害が相次いでいる。KDDIはISP事業者向けメールシステムで最大1422万件の情報が漏えいした可能性、IIJはメールサーバで400万アカウント超の情報漏えい可能性、NTTコミュニケーションズは社内システムで約1万8000社の情報漏えい可能性をそれぞれ公表している。また、NTTPCの大容量ファイル送信サービス「だいぼうふう」は不正アクセス被害を受け、システム再構築に要する時間や費用を考慮して3月31日で終了している。
