サイバーエージェントが運営し、Amebaブログでも報酬の受取に利用されている、ポイント交換プラットフォーム「ドットマネー(.money)」で2026年2月4日に発生した、深刻なシステム障害と個人情報漏えいインシデントについて、公表された3つの発表に基づき、その経緯と対応をまとめます。
本件は、サイバー攻撃ではなく「内部的な設定ミス」により、他者の個人情報が閲覧可能になったという点で、Webサービスを運営するすべての企業にとって示唆に富む事例と言えます。
2月12日(木) サイバーエージェント(ドットマネー)
【ご報告】ご利用アカウント以外の情報が表示される不具合について | ドットマネー公式スタッフブログ
2月6日(金)
【メンテナンス終了】緊急メンテナンスのお知らせ | ドットマネー公式スタッフブログ
2月4日(水)
【復旧完了】ログインアカウント以外の情報が表示される | ドットマネー公式スタッフブログ
■セッション管理の設定ミスによる個人情報の混在
2026年2月4日の午後から翌5日にかけ、ドットマネーにおいて極めて重大な不具合が発生しました。その内容は、ユーザーがサービスにログインした際、自身の情報ではなく、全く別のユーザーの登録情報が表示され、かつ操作が可能になってしまうというものです。
発表によると、この障害の原因は外部からの攻撃ではなく、サービス改善に向けたメンテナンス時に行われた「サーバー側のセッション管理設定(キャッシュ設定)の誤り」でした。これにより、アクセスしたユーザーの接続情報がシステム内部で入れ替わり、他者のアカウント情報(氏名、メールアドレス、銀行口座情報、保有ポイント残高など)が画面上に露出する事態となりました。
■被害規模と漏洩した情報の詳細
2月12日に公開された報告によると、この不具合の影響を受けた可能性がある期間は、2月4日15時18分から2月5日13時56分までと特定されています。この間にページが表示され、影響を受けたと推定される最大人数は18,936件にのぼります。
漏洩した可能性のある情報は多岐にわたり、アカウントIDや氏名、メールアドレスだけでなく、「銀行口座情報」も最大610件含まれていました。また、他者のポイントを使用してギフトコードを交換したり、登録情報を書き換えたりといった不正操作が行われたことも確認されました。
■即時停止から事後処理まで
ドットマネー側の対応プロセスは、初動の緊急メンテナンスから、その後の安全確保措置まで段階的に行われました。
まず、障害発覚直後の2月4日および5日に緊急メンテナンスを実施し、サービスを全面的に停止しました。この間に行われたポイント交換申請については、本人が意図したものか、あるいは不具合により他者が操作したものか判別がつかないため、一律で「却下(キャンセル)」とし、ポイントを口座に戻す処置が取られました。これは財産的被害を未然に防ぐための、不可避かつ妥当な判断であったと言えるでしょう。
さらに、情報の書き換えが発生した疑いのあるアカウントについては、一時的なログイン停止措置が講じられました。対象となるユーザーには個別に本人確認を行い、情報の修正を行うという、泥臭いながらも確実な復旧作業が進められています。
■システム更改リスクの再認識
本事例は、システムのパフォーマンス向上や機能改善を意図した変更が、逆に致命的なセキュリティホールを生むリスクを改めて浮き彫りにしました。特にキャッシュ設定やセッション管理は、Webサービスの根幹に関わる部分であり、ここでのミスは「情報漏洩」に直結します。
企業としては、リリース前の検証体制において、機能面だけでなくセキュリティ面での多角的なレビュープロセスがいかに重要であるかを再認識させられます。また、事故発生時の「全トランザクションのキャンセル」というドラスティックな意思決定は、ユーザーの利便性を一時的に犠牲にしてでも、資産保全とさらなる混乱防止を優先した危機管理対応として評価されるべきポイントです。
今後、同社には監視体制の強化やレビューフローの改善といった再発防止策の徹底が求められますが、他社においても「対岸の火事」とせず、リリース管理のあり方を見直す契機とすべきでしょう。
※タイトルと要約、イメージは、AI(Gemini)が生成したものをベースにしています。
