729万件情報漏えい可能性の「快活CLUB」　パスワード「平文で」SMS送信が波紋→運営「復元不可能な状態で保管」

2025/12/5 20:33 J-CASTニュース

インターネットカフェ「快活CLUB」を運営する快活フロンティア（神奈川県横浜市）がサイバー攻撃を受け、729万87件の会員情報が漏えいした可能性がある問題で、警視庁が容疑者を逮捕したと2025年12月4日に発表した。

同社が既に再発防止策を施したとする一方、X上では、公式アプリのセキュリティ対策が不十分ではないかとする懸念が相次いでいる。同社に見解を聞いた。

漏えい可能性は氏名、性別、住所、電話番号など

快活フロンティアは1月21日、同社サーバーに対する不正アクセスを同18日に検知し、快活CLUBの会員情報の一部が外部へ漏えいした可能性があると発表・謝罪していた。3月17日には、調査をふまえ、漏えいの可能性がある対象者・個人情報を報告した。

具体的には過去9年間に来店実績がある快活CLUB会員の一部、5年間に登録した仮会員の一部、快活フロンティアが手がけるフィットネスジムのFiT24・同インドアゴルフ会員の一部が該当する。個人情報の範囲は、氏名、性別、住所、電話番号、生年月日、会員番号、店舗コード、最終会計日時など幅広い。

ただ、1月21日の発表では「不正アクセスを受けたサーバーとは異なる」として、会員登録時の身分証明書情報（運転免許証等）、クレジットカード情報、メールアドレスに加え、会員アプリのパスワードは、漏えいの可能性がある個人情報に含まれないとした。

再発防止策は（1）不正アクセスの影響を受けたプログラムの改修、（2）新たなセキュリティ対策ソフトの導入とセキュリティパッチの適用、（3）WEBサイトの不正アクセスの監視強化及び検知時のブロック強化を既に実施したと説明。影響を受けなかったサーバーとプログラムに関しても対策したという。

発表時点で、今回の事案での情報漏えいや二次被害は確認されていないとした。

「パスワード平文で送られてきて草」管理方法は？

12月4日には、メディア各社でも、不正アクセス禁止法違反と業務を妨害した疑いで高校2年生の17歳少年が逮捕されたと報じられている。

不正アクセス問題が改めて取り沙汰される中、Xでは、快活CLUB公式アプリのセキュリティ対策が広く話題に。例えば、人気YouTuber・コスメティック田中氏が5日に「快活CLUB、この前パスワード忘れたボタン押したら会員番号とパスワード平文で送られてきて草だった」と投稿した。

同様の経験者はほかにも散見され、パスワードが復元可能な状態で運営側に保存されているのではないかと疑惑が浮上。「セキュリティーがザル」「パスワードがプレーンテキストで送られてくることも問題だが、そもそもパスワードをハッシュで持ってないことが大問題」「復元可能なパスワードをDBに保存していることで、漏洩時メアドとパスワードがセットで漏洩するわけでして...」「会員情報の取り扱いは考え直してください」などと波紋を呼んだ。

快活フロンティアは5日にJ-CASTニュースの取材に応じ、アプリユーザーが「パスワードがわからない」等のボタンから手続きした場合、まず新しいパスワードなどの必要項目を登録し、認証コードを入力した後、会員番号および新しいパスワードが平文でSMSに届くと答えた。

ただ、パスワードの管理方法については「復元不可能な状態で保管しています」と説明。「今回の不正アクセス事案を受け、セキュリティ対策を強化しております。ご指摘は真摯に受け止め、今後のセキュリティ対策の参考にさせていただきます」といい、下記のようにも伝えた。