株式会社ジモティーは2026年1月20日、昨年発生した同社の社内開発環境に対する不正アクセスについて、最終的な調査結果と再発防止策を発表しました。調査の結果、今回の事案は開発工程で使用していた外部プログラムに不正なコードが混入したことが原因であると特定されました。
1月20日(火) ジモティー
弊社利用システムへの不正アクセスに関する調査結果のご報告 | 株式会社ジモティー
同社によると、不正アクセスの兆候を検知したのは2025年11月26日です。サービス本番環境とは切り離された社内開発環境の一部においてマルウェア感染の痕跡が見つかり、直ちにネットワークの遮断と隔離措置が講じられました。その後、専門的な調査が進められていました。
今回の最終報告では、影響範囲の詳細が明らかにされています。外部からのアクセスが実際に確認されたのは、フリマサービス「ジモティー」利用者の「カテゴリ別問合せ実績の有無」を示すデータ約11万5,674件と、同社の従業員および社外協力者の氏名・メールアドレス101名分です。
問合せ実績データは、「家具」「家電」といったカテゴリごとの利用有無を示すフラグ情報であり、具体的なメッセージ内容や日時、個人を特定できる情報は含まれていないとのことです。また、当初アクセスされた可能性が懸念されていたユーザーのメールアドレスや公開IDについては、調査の結果、アクセス等の被害はなかったことが確認されました。
クレジットカード情報や銀行口座番号などの決済情報、ログインパスワード、住所・電話番号などの重要情報は、今回のアクセス対象には含まれておらず、流出はしていません。また、自治体と連携して運営している「ジモティースポット」などの事業における利用者情報への影響もないとのことです。
同社は、対象となる関係者への連絡と個人情報保護委員会への報告をすでに完了しています。再発防止策として、外部プログラム導入時の安全確認プロセスの強化や、万が一侵入を許した場合でも被害を最小限に抑えるための技術的対策を導入したほか、全社的なセキュリティ管理体制の刷新を進めるとしています。
なお、本件による同社サービスの運営への支障はなく、現時点で情報の悪用などの二次被害も報告されていないということです。
これまでに公表されたリリース:
12月5日(金)
弊社利用システムへの不正アクセスに関するお知らせ(第一報)
ジモティのシステム環境:
公開されている会社情報や採用情報、エンジニア向け資料によると、ジモティーは創業初期から自社のエンジニアチームがサービスの企画・開発・インフラ構築・運用を一貫して担当しています。
-
開発責任者: 執行役員 エンジニア担当の鈴木智之氏(2006年NEC入社、2011年ジモティー入社)が、長年にわたりシステム開発と運用を統括しています。
-
エンジニア採用: サーバーサイド(Ruby on Rails等)、フロントエンド、インフラ(SRE)などのエンジニアを自社で積極的に採用しており、社内に開発組織を持っています。
同社はオンプレミス(自社サーバー室)ではなく、AWS(Amazon Web Services)やGCP(Google Cloud Platform)などのパブリッククラウドを利用してシステムを構築していることが、過去の技術ブログや登壇資料等で公表されています。これらも大手SIerに運用を任せているのではなく、自社のSRE(信頼性エンジニアリング)チームが管理しています。
※タイトルと要約は、AI(Gemini)が生成したものをベースにしています。
