女性向け転職サイト「女の転職type」のスマートフォンアプリで、不正アクセスにより会員の個人情報が流出した可能性が判明。
運営の「キャリアデザインセンター」によると、不正アクセスは2026年5月26日から28日にかけて発生しており、調査の結果、第三者が外部から入手した認証情報を悪用する「リスト型攻撃」による不正ログインが行われたとみられている。
リスト型攻撃とは、他社サービスなどから流出したIDとパスワードの組み合わせを用いて、複数のサービスへのログインを試行する攻撃手法。
不正ログインの試行回数は114万1828件に達し、このうち3万8442件のログインが成功していたという。
影響を受けたユーザー数は1万8253名とされており、ログイン後に一部会員情報ページが閲覧された可能性が懸念されている。
流出した可能性がある情報について同社は調査を継続しているが、氏名や住所、電話番号、メールアドレス、生年月日、職務経歴など、会員が登録した転職活動関連の情報が含まれる可能性がある。
一方で、同社はパスワードを復号できない形式で保存しており、自社システムからIDやパスワードが流出した事実は確認されていない。
事案発覚後、同社は速やかに外部からの不正アクセスを遮断したほか、全会員の強制ログアウトを実施。
また、不正ログインが確認されたアカウントについてはパスワードを初期化し、対象者へ再設定を求める案内メールを2026年5月29日に送付。
個人情報保護委員会への報告も完了したと説明されている。
2026年6月3日時点で個人情報の不正利用や二次被害は公表されておらず、同社は引き続き影響範囲の特定と原因調査を継続実施。
あわせて再発防止に向けたセキュリティ強化を実施し、利用者が安心してサービスを利用できる環境整備に取り組むとしている。
今回の事案は、サービス事業者側から認証情報が流出していなくても、他サービスで使い回されたIDやパスワードが悪用されることで被害につながる典型例となった。
専門家は、サービスごとに異なるパスワードを設定することに加え、多要素認証(MFA:パスワードに加えてスマートフォン認証など複数の要素で本人確認を行う仕組み)の利用が有効な対策になると指摘している。