日本の主要不動産サイト関連で大規模情報流出の可能性

対象とされる不動産プラットフォーム

今回、名前が挙がっているのは以下の主要サービスです

• ・SUUMO
• ・CHINTAI
• ・at home
• ・HOME'S
• ・O-uccino

これら複数のプラットフォームに関連するデータが、合計約2.78GBの規模で流出したとされています
https://dailydarkweb.net/suumo-chintai-at-home-homes-suffer-data-breach/

流出したとされる情報の内容

今回の問題が深刻とされる理由は、単なる連絡先情報にとどまらない点です

含まれるとされるデータ

• ・約97万件のメールアドレス
• ・氏名などの個人情報
• ・年収・収入帯
• ・家族構成
• ・居住状況
• ・物件の希望条件
• ・問い合わせ履歴
• ・閲覧・検討した物件URL

ちなみに既にダークウェブ上のハッカーフォーラムで約18万5,000円で販売中とのこと

今回の流出がえげつない点

今回の流出データは、単体ではなく組み合わせることで非常に強力な個人プロファイルを構築できる点が問題です

例えば

• ・年収 × 物件条件 → 資産レベルの推測
• ・家族構成 × 居住状況 → 生活実態の把握
• ・問い合わせ履歴 → 行動パターンの分析

これにより、以下のようなリスクが現実的になります

• ・フィッシング詐欺（一本釣り）
• ・不動産関連のなりすまし営業
• ・個人の特定、プライバシー侵害
• ・物理的なリスク

日本の大手不動産サイトが侵害を受けたのか？

データテーブル項目は「仲介会社側の管理DB」っぽい

今回の流出情報として語られている項目群は、典型的な不動産営業向け管理DBの特徴を持っています

「どの物件に問い合わせたか」
「どんな条件を希望しているか」
「家族構成はどうか」
「予算・年収はどれくらいか」
「いつ、どの経路から流入したか」
「問い合わせ後にどのようなやりとりがあったか」

これらは不動産仲介会社が日々の業務で使う

• ・反響管理
• ・来店誘導
• ・追客
• ・営業メモ
• ・顧客属性管理

のためのデータであるといえます

不動産ポータルサイトではこのようなデータは扱わないため、「SUUMOやHOME'Sそのもののバックエンドが侵害された」というよりかは「それらの媒体から流れてきた問い合わせデータを一括管理する外部の基幹システムが侵害された」と見るのが自然です。

大手サイトへの直接攻撃は非常に効率が悪い

攻撃側の視点で考えても、日本の主要不動産ポータルに対し別個に突破を試みるのはかなり非効率です

それより、不動産会社や加盟店が共通利用しているSaaSや業務支援システムなどの業務支援基盤を落とすほうが、その枝となっている多数の不動産会社の問い合わせデータ・媒体連携情報を接収できるので合理的と言えます

Axiosのときは、攻撃者はなんらかの方法で対象の関係者の情報を得て、本物っぽい関係者を装って、本物っぽく作られたSlackワークスペースに招待するとかして、TeamsとかZoomとかの会議に誘導してみたりして、その後会議中に「更新が必要」「SDKが古い」のような 偽画面 を出してみたりして、偽exe（遠隔操作マルウェア）を入れさせたとかなんかそんなかんじで認証を抜いてたので、そういうのが流行ってるのかもしれません

もう無理だろこれ

現時点では各社事実関係を確認中のステートメントを出していますが、攻撃者による生成AIの活用が進む中で、こうした事例は今後も増加していく可能性があります
十分なセキュリティ投資が難しい小規模企業や個人事業主が、詳細な個人情報を自前のバックエンドで管理することには大きなリスクが伴う時代なのだと思います

また、業務委託基盤やSaaSであれば安全が自動的に担保されるのは神話になりつつあり、ウェブ上で個人情報を扱うこと自体の難易度が年々高まっているとも言えるでしょう

あと、Anthropic が開発しているとされる次世代AI 「Claude Mythos」の記事を見ましたが、性能が高すぎて自力でサンドボックスから脱走してしまうとかいうちょっと意味わからんことになっててこわすぎる