2026年6月22日、「ソフツー」社が管理する検証用サーバーに対して不正アクセスが判明。
通信記録に関連するデータが侵害されたおそれがあるとのことで、対象となった情報には電話番号15万9850番号のほか、通話日時、通話内容の文字起こし情報が含まれていたとみられている。
ソフツーは、クラウド型コールセンターシステム「BlueBean」や、AI電話自動応答・取り次ぎサービス「ミライAI」などを提供する企業。
今回の不正アクセスは、同社が受託している特定業務において、通話品質の分析・向上を目的に個別サービスの動作を検証するため構築された、独立した1台の検証用サーバーで発生したという。
同社は、この検証用サーバーは他のサービスに用いるサーバーとは別に構築されたものであり、同社の全般的なサービスやその他の顧客への影響はないと説明している。
不正アクセスを受けた検証用サーバーでは、データベースの検索に用いる索引データが削除されており、侵害された可能性がある情報には通話品質分析に必要となる電話番号、通話日時、通話内容をテキスト化した文字起こし情報が対象となっている。
一方で、同社は当該データベースについて、氏名、住所、クレジットカード情報など、特定の個人を直接識別できる情報は管理項目に含まれていなかったものの、電話番号や通話日時、通話内容の文字起こし情報は、内容によっては利用者や通話内容の推測につながる可能性が懸念されている。
原因については、検証用サーバー固有のセキュリティ環境による要因と、同サーバーで使用していた固有の第三者プログラム(自社開発ではない外部製のプログラム)の仕様が重なったことにより、外部から不正アクセスを受けたと説明されている。
しかし具体的な製品名、脆弱性の有無、攻撃手法、侵入経路の詳細は公表されていない。
公表時点で当該事案に起因する情報の不正利用などの二次被害は確認されておらず、サーバーの稼働状況や通信ログなどからではデータの外部流出を示す事実は認められていないという。
対応として、同社は不正アクセスを受けたサーバーの利用をすでに停止し、調査に必要な同社からのアクセスを除いて、外部からのアクセスを完全に遮断したという。
また、本件の対象となった特定業務に関わる顧客に対しては、個別の事実報告と今後の対応に向けた連携を開始しているとのこと。
再発防止策として、同社は検証用サーバー構築時のセキュリティ設定手順や管理体制を見直したほか、全社的なセキュリティ教育を継続。
今後、追加で公表すべき内容が判明した場合には、順次速やかに公表するとのこと。