チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「アソビューの予約システムから2万7千件って、うちが行った施設のデータも漏れたんでしゅか?」
「パートナー認証情報を踏み台にされるって、SaaS事業者にとって他人事じゃないでしゅよね?」
チップスレジャー施設の予約データに自分の名前や住所が入ってると思うと、ちょっと怖いでしゅ……。
ボスふふふ、SaaS型予約システムへの攻撃は、二段構造で進む。中身を順に解いていこう。
本記事ではアソビューの予約管理SaaS「satsuki」で起きた多段不正アクセスの構造と、SaaS事業者・利用者双方の対策を解説します。
SaaSのテナント間境界をどう守るか、現場で動かせる視点が最後まで読めば手に入ります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
5月20日の検知から5月28日の公表までの流れを整理します。
アソビューは2026年5月20日にパートナー向け予約管理SaaS「satsuki」への不審アクセスを検知しました。
調査の結果、satsuki経由で予約者27,163件の氏名・性別・生年月日・電話番号・住所・予約情報が流出した可能性が判明しています。
パートナー側では、不正ログインが確認された111件と、その他14,400件分の会社名・住所・代表者氏名・請求担当者氏名・口座情報・メールアドレスも漏洩しました。
クレジットカード情報は含まれていませんでしたが、口座情報まで含まれる点は深刻です。
被害件数の内訳は以下のとおりです。
| 区分 | 件数 | 主な情報 |
|---|---|---|
| 予約者 | 27,163件 | 氏名・住所・電話・予約情報 |
| 不正ログイン確認パートナー | 111件 | 会社情報・口座情報 |
| その他パートナー | 14,400件 | 会社情報・代表者・請求担当 |
続報はINTERNET Watchの記事とアソビュー公式リリースで公開されています。
同社は検知翌日の5月21日に個人情報保護委員会へ報告し、警察当局にも相談したうえで被害届の準備を進めています。
悪用による具体被害は公表時点で確認されていないものの、口座情報と請求担当者情報の組み合わせは振込先変更詐欺の格好の素材です。
該当パートナーは振込先確認の二重チェックを当面継続するべきでしょう。
チップス口座情報と請求担当者がセットで漏れると、ビジネスメール詐欺(BEC)に直結するんでしゅね……
ボスそうだ。BECの素材として理想的に揃ってしまっている。だから振込変更依頼の口頭確認を、半年は徹底すべきだ。
攻撃手口を整理し、SaaS事業者として備えるべき視点をまとめます。
攻撃者はsatsukiの一部パートナーアカウントへ不正ログインしたうえで、その認証情報を悪用して別パートナーのデータにもアクセスしました。
マルチテナントSaaSではよく見られる「アカウント奪取→横展開」の典型パターンです。
テナント間のデータ境界が論理的にしか分かれていない場合、認証情報1つの漏洩が全テナントへ波及するリスクをはらみます。
権限設計と監査ログ設計が、テナント境界を実効的に支える最後の砦になります。
SaaS事業者として確認したい監査項目は以下のとおりです。
すぐ動かせるのは、パートナー側へのMFA強制と、リスト型試行に対する閾値ベースの遮断です。
加えて、テナント横断クエリを実行できるユーザーを最小限に絞り、操作の都度承認フローを通す設計にしてください。
パートナーアカウントの放置は、自社のリスクと顧客の信用を同時に削っていきます。
チップスSaaSはテナント境界の設計次第で、被害規模が桁違いになるんでしゅね!
ボスその通り。論理境界は便利だが、運用で守らないと一気に崩れる。設計と運用は車の両輪だ。
アソビューの事案は、パートナー認証奪取から別テナントへ横展開する、SaaS特有のリスクを実例で示しました。
予約者の住所・連絡先と、パートナーの口座情報がセットで漏れた以上、振込変更詐欺やBECへの即時警戒が必要です。
事業者はテナント境界の権限とログ分離、MFA強制を、利用者は身元不明な振込先変更依頼の口頭確認を徹底してください。
SaaSは便利さの裏で、設計と運用の両輪が崩れた瞬間に被害が連鎖する仕組みでもあります。
ボステナント境界を守るのは設計と運用、どちらが欠けても崩れる。両輪を回し続けろ。
チップス振込先変更は必ず電話で確認する、これ忘れないでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
