当社の連結子会社である PT. tripla BookandLink Indonesia(インドネシア法人)において発生した不正アクセス事象につきまして、2025 年 12 月 8 日付「連結子会社における不正アクセスの発生及び個人情報漏えいに関するお知らせ(第一報)」にて概要をご案内いたしました。
その後、当社および外部専門家による調査を進めた結果、現時点で判明している内容について下記のとおりご報告申し上げます。
【第一報の概要と追記】
2025 年 12 月 6 日(土)、同社サーバーに対する不正アクセスが発覚し、調査の過程において予約情報を管理するシステムへの不正アクセスの形跡が確認され、同社が管理するお客様の個人情報の一部が外部へ漏えいしたことが判明したものです。
漏えいした個人情報は以下のとおりです。
宿泊者氏名、宿泊日、予約 ID、宿泊施設名、電話番号、メールアドレス、住所
なお、クレジットカード情報およびログイン情報(パスワード)は漏えいしていないことを確認しております。
【調査結果と対応】
今回の調査で判明した事項と対応は下記のとおりです。
- 原因および対応状況
外部から不正アクセスを受け、一部予約情報が外部から閲覧可能となっていました。発覚直後にネットワークを切り離すなどの措置を実施し、当該画面を削除し、被害拡大防止に必要と考える措置はすべて実施しており、それ以降の情報漏えいは確認されておりません。 - 法令対応
本件につきまして、外部専門家と協議のうえ、日本およびインドネシアの関係法令に基づく対応の必要性を検討し、法令上必要と考える対応は実施済みです。 - ご利用施設への通知
PT. tripla BookandLink Indonesia(インドネシア法人)の顧客であるすべての宿泊施設に対して、通知および注意喚起を実施済みです。 - グループ会社への影響調査
当社 tripla 株式会社(日本法人)、旭海國際科技股份有限公司(台湾法人)のサービスにおきましては、同様の被害は発生していないことを第一報にてご報告いたしました。
加えて、tripla Singapore Pte. Ltd.(シンガポール法人)及び tripla(Thailand) Co., Ltd.(タイ法人)を含む他の子会社のサービスにおいても本件に起因する影響がないことを確認いたしました。
【再発防止策】
当社は、本件を重要な経営課題と捉え、親会社である tripla 株式会社ですでに運用されている、より厳格なセキュリティ基準を当該インドネシア子会社にも即時適用し、以下のとおり技術的・組織的な再発防止策を実施・強化してまいります。また、当社グループのグループ標準として全子会社に導入いたします。
- 不正アクセスの遮断と監視強化:原因となった脆弱性への対処(セキュリティ・ハードニング)および不正利用されたアカウントの無効化を完了いたしました。また、当社グループ標準の監視体制に合わせ、IDS/IPS(不正侵入検知・防御システム)を導入し、異常な通信やアクセス試行を早期に検知・遮断する体制を構築いたします。
- 認証システムの抜本的強化: なりすましログインを防止するため、親会社同様に多要素認証(MFA)の適用範囲拡大およびパスワードポリシーの厳格化を進めております。また、全ユーザーに対して認証情報の変更と MFA 設定を強く推奨・依頼しております。
- 継続的なセキュリティ評価: グループ全体のセキュリティガバナンス方針に基づき、外部専門家による定期的なペネトレーションテスト(侵入テスト)を義務化し、客観的な視点での脆弱性診断と継続的なシステム改修を実施してまいります。
なお、本件に係る連結業績については現時点で重大な影響は見込んでおりません。今後開示すべき事項が発生した場合には、速やかにお知らせいたします。
この度は皆様に多大なご迷惑ご心配をお掛けしましたこと、改めて深くお詫び申し上げます。
【2025/12/8リリース分】