学校行事の写真販売サービス「スナップスナップ」を運営する「フォトクリエイト」社は、同社サーバーに対する不正アクセスにより、顧客の個人情報が流出した可能性があると発表。
影響を受けた可能性のある顧客は約10万名に上るとみられており、保護者を中心に不安が広がっている。
ダークウェブ上でハッカー集団を名乗る者から犯行声明が投稿され、当該事案が注目を浴びた。
これを受け、同社は当初「フィッシングメール送信のみ」としていた認識を改め、流出の可能性を認めるに至っている。
同社によると、不正アクセスは7月末に発生。
11月14日に公式サイトで公表した内容では、氏名、住所、メールアドレス、生年月日、パスワードなどが流出したという。
影響対象となる顧客には個別通知を進めており、パスワードの即時変更とフィッシングメールへの注意を呼びかけ。
公表時点で写真データそのものに流出の痕跡は確認されていないと報告されているが、警察と連携して調査が継続中で、再発防止策としてシステムの全面見直しが進められている状況とのこと。
同社は「被害に遭われた皆様に深くお詫び申し上げます」と謝罪し、今後の補償や外部監視サービスの提供を検討中としている。
フォトクリエイトはカメラ販売大手キタムラ・ホールディングスの子会社で、全国の学校や幼稚園・保育園の行事写真をオンラインで販売するサービスを展開。
保護者が子どもたちの写真を購入する日常的なプラットフォームだけに、今回の発表は教育現場に衝撃を与えている。
SNSでは「7月の段階で把握していたのに、なぜ今ごろ連絡なのか」「学校側ももっと早く知らせてほしかった」といった企業と学校への不信感が相次いで投稿され、怒りの声が広がっている。
一方で「個人情報流出は仕方ないが、迅速な対応が大事」「見舞金や補償をしっかりしてほしい」といった意見も見られる。
株式会社フォトクリエイトは、2025年の大規模個人情報流出事件が初めてのインシデントではない。
同社が運営する写真販売サービスでは、過去にも不正アクセスを起点としたフィッシング被害が複数回発生しており、主な過去事例は以下の通り。
・2024年8月 「オールスポーツコミュニティ」不正アクセス
スポーツイベント写真サービスでメールアドレス流出。
JAバンクなどを装ったフィッシングメールが拡散し、クレジットカード不正利用被害も報告された。
・2023年5月 「スナップスナップ」メールアドレス流出
学校写真サービスで数千名分のメールアドレスが悪用され、ANAマイレージなどをかたる詐欺メールが大量送信された。
・2022年11月 SQLインジェクション攻撃による小規模流出
生年月日を含む情報が一部流出し、保護者向けフィッシングが急増。
これらの事例はいずれも「不正アクセス→メールアドレス流出→フィッシングメール拡散」というパターンが共通しており、2025年事件の初期段階とほぼ同一の被害形態だった。
専門家は「二段階認証の未導入や、セキュリティ対策の遅れが被害を拡大させた可能性がある」と指摘。
近年、学校関連サービスを標的としたサイバー攻撃が増加傾向にある中、企業だけでなく教育機関側にも情報共有の迅速化が求められている。