公表日:2026年3月
組織:株式会社シーエーシー
原因:Webサーバーへの不正プログラム設置による侵害
攻撃手法:不正アクセス(サーバー侵入・リソース不正利用)
影響範囲:寄附金申請者および管理者の個人情報(氏名・メールアドレス等)の漏えい可能性
深刻度:中(漏えいの可能性あり・調査対応実施)
分類:不正アクセス
本件は、寄附金Web申請クラウドサービスへの不正アクセスにより、個人情報が技術的にアクセス可能な状態となった事案であり、結果として漏えいの可能性があると判断されたケースである。
事件概要
株式会社シーエーシーは2026年3月、寄附金Web申請クラウドサービス「Academic Support Navi」に対する不正アクセス事案について、サービス再開を含む最終報告を公表した。
本件では2025年12月、Webサーバーに不正プログラムが設置され、外部からの侵入が確認された。
調査の結果、個人情報や機密情報の外部流出を示す痕跡は確認されていないが、一定期間、情報にアクセス可能な状態であったとされている。
同社はサービス停止後、環境の再構築や脆弱性対策、外部機関による診断を実施し、安全性を確認した上でサービスを再開した。
本記事では、同社が公開した公式リリースをもとに発表内容を整理して掲載する。
分析
今回の事案では、クラウドサービスを構成するWebサーバーに不正プログラムが設置され、外部から侵入された点が特徴である。
一般的にこのような不正アクセス事案では、サーバーの脆弱性や設定不備が起点となり、不正なプログラムの設置や権限の悪用が行われるケースがある。
今回の発表では、攻撃者の目的はリソースの不正利用と推定されており、情報窃取を主目的としないケースの可能性も示されている。
企業対応としては、サービス停止による被害拡大防止、フォレンジック調査、環境の再構築や外部機関による検証など、一般的な対応プロセスが実施されている。
全体として、本件は情報漏えいの可能性を前提に法令対応を行いつつ、安全性確認後にサービス再開に至ったインシデントと位置付けられる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 不正アクセスでは、情報の流出有無だけでなく「アクセス可能状態」も重要視される
実際に流出の痕跡がなくても、閲覧可能な状態であれば漏えいの可能性として扱われることがある。 - インシデント発生後はサービス停止などの初動対応が優先される
被害拡大を防ぐため、通信遮断やサービス停止が迅速に行われるケースが多い。 - 調査結果に基づき、外部機関の評価を経てサービス再開が判断される
フォレンジック調査や脆弱性診断を通じて、安全性を確認した上で再開される流れが一般的である。 - 法令に基づく報告や利用者への連絡が並行して進められる
個人情報に関わる場合、関係機関への報告や対象者への通知が実施されることが多い。
関連事件
- 岩谷産業株式会社 不正アクセス発生 2026年3月 | セキュリティ事件簿#2026-137
- 日創グループ株式会社 不正アクセスで顧客情報漏えいの可能性(3,887件)2026年3月 | セキュリティ事件簿#2026-060
- 株式会社テーオーシー 不正アクセス調査完了 情報流出なし 2026年3月 | セキュリティ事件簿#2025-512
- 河西工業株式会社 子会社サーバー不正アクセスを検知 2026年3月 | セキュリティ事件簿#2026-125
- 株式会社OAGコンサルティンググループ 不正アクセスでフィッシングメッセージ送信 2026年3月 | セキュリティ事件簿#2026-116
公式発表(アーカイブ)
2026年3月23日リリース分:「Academic Support Navi」 サービス再開のお知らせ(最終報)
当社が提供する寄附金Web申請クラウドサービス「Academic Support Navi」につきまして、2026年3月23日からサービスを再開させていただきましたのでお知らせいたします。
既報のとおり、本サービスを構成するサーバーへの不正アクセスが2025年12月に発生したため、お客様のデータ保護を最優先してサービスを停止するとともに、外部からの当該サーバーへのアクセスおよび当該サーバーから外部へのアクセスを遮断しておりました。約3か月にわたるサービス停止により、お客様をはじめ関係者の皆様に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。
本事案の判明時から現時点まで、本件に関わる個人情報および機密情報の漏えい、二次被害の事実は確認されておりません。しかし、当社としては本件を個人データの漏えい等が「発生したおそれがある事態」として個人情報保護法に基づく対応を進め、本事案について個人情報保護委員会に必要な報告を実施いたしました。既報のとおり、申請者様に対しては、本サービスの利用企業様から連絡を実施いただいておりますが、本件は本サービスを利用している各事業者様に共通する事象であるため、同一の申請者様に複数の事業者様から同様の連絡が届く可能性がございますこと、ご容赦ください。
個人情報保護法に基づく対応と並行して、安心してご利用いただける状態でのサービス再開に向け、本事案を分析した外部専門家の調査報告と推奨事項を踏まえた以下のセキュリティ対策を実施いたしました。
<セキュリティ対策>
・環境の完全刷新:
潜在的なリスクを根絶するため、クリーンな新環境にシステムを再構築(クリーンリストア)しました。
・セキュリティの強化:
OS・モジュールの脆弱性対応やインフラ設定の見直しを行い、基盤全体の安全性を強化しました。
・客観的な安全性の検証:
自社による検証に加え、外部専門機関による脆弱性診断を実施しました。
上記の復旧対応およびセキュリティ強化状況全般について、当社品質保証部門にて総合的に評価した結果、サービス再開について問題ないと判断いたしました。なお、当社による本サービスの提供は再開しておりますが、各申請サイトの運用再開時期は、ご利用企業様のご要望に応じて異なりますので、あらかじめご了承ください。
改めまして、お客様をはじめ関係者の皆様にご迷惑とご心配をおかけしたことを心よりお詫び申し上げるとともに、本サービス再開までお待ちいただきました皆さまのご理解とご協力に深く御礼申し上げます。
当社は、今後も安全管理体制の強化を継続し、より安全で安定したサービスの提供に努めてまいります。
2026年1月13日リリース分:Academic Support Navi」 への不正アクセスに関する調査状況のご報告(第2報)
2026年1月5日にお知らせしました事案(「Academic Support Navi」サービスの一時停止に関するお知らせ)につきまして、現時点で新たに判明しております情報をお知らせいたします。
情報流出のおそれに関する最新情報
現時点において、サーバー内の解析および各種管理ログの精査の結果、個人情報、機密情報および申請データの外部流出を示す具体的な痕跡は確認されておりません。
一方で、外部専門機関の調査において、第三者により管理者権限が不正に使用された事が確認されました。現時点で流出の痕跡は確認されておりませんが、弊社は本件を「個人データの漏洩が生じたおそれがある事態」として重く受け止め、個人情報保護法に基づき個人情報保護委員会へ報告を行うとともに、プライバシーマークの審査機関である一般社団法人情報サービス産業協会(JISA)へも報告を行いました。
引き続き、専門的な知見に基づき、情報の保護状況について厳密な確認を進めてまいります。
今後の対応については、現在、判明した事実に基づき、外部専門機関の助言を得ながら、再発防止に向けた対策およびサービスの再開準備を進めております。今後、外部機関による客観的な安全性の診断・評価等を経て、お客様に安全を確信してご利用いただける体制が整い次第、具体的な再開時期等について、改めて本ウェブサイトにてお知らせいたします。
お客様には多大なご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
2026年2月18日リリース分:「Academic Support Navi」 への不正アクセスに関する調査結果のご報告(第3報)
2026年1月5日(「Academic Support Navi」サービスの一時停止に関するお知らせ)および13日(「Academic Support Navi」 への不正アクセスに関する調査状況のご報告(第2報)|ニュース|株式会社シーエーシー(CAC))にお知らせした事案につきまして、外部専門機関によるフォレンジック調査が完了しましたので、その調査結果と今後の対応等についてお知らせいたします。
本事案の判明時から現時点まで、本件に関わる個人情報の漏えいおよび二次被害の事実は確認されておりませんが、本件によりサービス停止を伴う事態となり、お客様をはじめ関係者の皆様に多大なるご迷惑とご心配をお掛けしていることを深くお詫び申し上げます。
1.調査結果の概要
(1)不正アクセスの手法と範囲
Academic Support Navi(以下、「本サービス」という)で利用していたWebサーバーに外部から不正なプログラムが設置および実行されたことが確認されました(以下、「本件不正アクセス」という)。
なお、弊社環境内の他システム、データベース、および他サービスに対する不正アクセスの痕跡は確認されませんでした。
(2)不正アクセスの目的と期間
本件不正アクセスの主目的はサーバーリソースの不正利用(暗号資産のマイニング等)と推定され、主目的以外の具体的な活動の痕跡は確認されませんでした。また、本サービスの個人情報、機密情報および申請データの参照または外部流出を目的とした具体的な活動の痕跡も確認されませんでした。
本件不正アクセスが行われた期間は、不正なプログラムが設置された2025年12月18日深夜から、当社が当該サーバーにおける不審な挙動を把握してシステム停止とネットワーク遮断を行った同年12月25日夕刻までとなります。
(3)情報漏えいに関する評価
個人情報および機密情報の参照・外部流出を示す具体的な痕跡は確認されず、本事案における攻撃者の目的がリソースの不正利用だったと推定されることなどから、「実際に機密情報の窃取に至った可能性は低いと推定されます」との見解が示されました。
2.調査結果を踏まえた当社対応
これらの調査結果および現時点で二次被害の事実が確認されていないこと等を踏まえ、当社といたしましては、実際に情報漏えい等が発生した可能性は極めて低いと判断しております。ただ、不正アクセス者は一定期間技術的に本サービスの全ての情報にアクセス可能な状態であったと推定されるため、法律上の解釈についても専門家へ確認し、 当社としては本件を個人データの漏えい等が「発生したおそれがある事態」として個人情報保護法に基づく対応を進めることとしました。
3.漏えい等が発生したおそれがある個人データ
| 対象者 | 個人データの項目 |
| 本サービスの利用企業様に対して寄附や助成を申請された申請者様 | アカウント情報:氏名、メールアドレス、性別、生年月日、所属団体・機関の情報(名称、所属部署等、所在地および連絡先等) 申請時にご入力いただいた情報(アカウント登録後、実際に申請を行った場合) |
| 本サービス利用企業の管理者様 | アカウント情報:氏名、メールアドレス |
※申請時にご入力いただいた情報には、申請者様の情報のほか、代表者様・関係者様等の情報(申請者様と同一の場合を含む)の情報も含まれます。(2026/2/18追記)
申請者様に対しては、本サービスの利用企業様と協力して、本件についての連絡を実施してまいります。
※本件は本サービスを利用している各事業者様に共通する事象であるため、同一の申請者様に複数の事業者様から同様の連絡が届く可能性がございます。(2026/2/18追記)
4.再発防止策およびサービス再開について
上記の調査結果を踏まえ、今回の事態の再発防止はもとより、 一層強固なセキュリティ対策を実施した上でサービスを再開させていただく予定です。具体的な再開時期等については、改めて本ウェブサイトにてお知らせいたします。
2026年1月5日リリース分:「Academic Support Navi」サービスの一時停止に関するお知らせ
当社の提供するサービスのひとつである 寄附金Web申請クラウドサービス Academic Support Navi (以下「本サービス」という) への不正アクセスが確認されましたことをお知らせいたします。
2025年12月25日、本サービスを構成するサーバーにおいて不審な挙動を確認いたしました。これを受け、お客様のデータ保護を最優先とし、ただちに本サービスを停止するとともに、外部からの当該サーバーへのアクセスおよび当該サーバーからの外部へのアクセスを遮断し、新たな被害が発生しない措置を実施いたしました。また、当社の他のサービスについても2025年中に緊急点検を実施し、不審なアクセス等が無いことを確認しております。
本件につきましては、社内セキュリティチームに加え、外部の専門機関による専門的な原因調査(フォレンジック調査)を実施しております。現時点において、個人情報および機密情報の外部流出を示す痕跡は確認されておりません。ただし、全容解明には一定の時間を要する見通しであり、今後、情報漏洩の事実など、お知らせすべき新たな事態が判明した場合には、速やかに公表してまいります。
お客様には多大なご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
