画像：株式会社サトーより引用

株式会社サトーは2025年11月10日、海外グループ会社が利用するクラウドサービス環境でゼロデイ攻撃が発生し、取引先に関する個人情報を含むデータの漏えい懸念を発表しました。

説明によると同社は2025年10月12日、クラウドサービスを管理するサービスプロバイダーより、システム脆弱性を利用したサイバー攻撃の報告を受けました。2025年7月に準備的な徴候があり、2025年8月には初回侵入が発生していた、とのこと。海外グループ会社のシステムに保管されていた氏名、メールアドレス、住所、電話番号などの個人情報、さらに受発注や出荷、配送、売掛金や買掛金に関わる業務データについて、情報漏えいの懸念が生じたことが調査により判明しました。

攻撃の手口は、新たなに発見された脆弱性を利用したゼロデイ攻撃と呼ばれるものです。通常、あるシステムに脆弱性が見つかると、修正パッチの提供が行われますが、発見からパッチ提供までの間隙は無防備な状態となるため、これを利用して不正アクセスを試みる手口です。なお、問題となったクラウドサービスは、公表時点で既に脆弱性が修正され、安全な環境となっています。

同社は影響について、米国、シンガポール、マレーシア、欧州、英国など複数地域の海外グループ会社に及ぶ可能性があると発表しています。漏えいに関係するとみられる対象者には個別連絡を行うとともに、事実を公表を通知する方針です。同社は今後、サービスプロバイダーと協力しながら再発防止に向けた取り組みを進める、と説明しています。

参照海外グループ会社における情報漏えいの可能性について｜株式会社サトー