チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「『ミドルの転職』に不正アクセスって、うちの登録情報も覗かれたかもでしゅか?」
「リスト型攻撃って、パスワードを使い回してると確実にやられるって本当でしゅか?」
チップス転職サイトに登録してるってだけで不安になってきたでしゅ……対策ってどうすればいいでしゅか?
ボスふふふ、リスト型攻撃の本質と、サービス側と利用者側それぞれの守り方を整理しよう。
本記事では、ミドルの転職で起きたリスト型攻撃の手口と、企業・利用者の両側で取るべき対策を解説します。
読み終わるころには、自社サービスと自分のアカウント、両方の守り方が整理できます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
事案の概要と、運営側の対応スピードを整理します。
エン・ジャパンは2026年6月2日、ミドルの転職のWebサーバで不正ログインを検知しました。
調査の結果、5月26日から6月2日までの8日間で2,503件の不正ログイン試行が確認され、攻撃元IP群は当日中にブロックされています。
同社はパスワードをハッシュ化管理しており、自社からの流出は確認されていません。
履歴書情報の改ざんや、企業側管理画面への侵入も認められませんでした。
事案の経過は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 発覚日 | 2026年6月2日 |
| 影響期間 | 5月26日〜6月2日(8日間) |
| 不正ログイン試行 | 2,503件 |
| 攻撃手法 | リスト型アカウントハッキング |
公式リリースはエン・ジャパンのお知らせで公開されています。
同社は全ユーザーのパスワードをシステム的にリセットし、6月5日に専用の相談窓口を開設しました。
パスワード再設定方法はメールで通知され、グループ他サービスでの同様の被害は確認されていません。
個人情報保護委員会への報告と警察への通報も完了しており、初動の透明性は比較的高い対応でした。
チップス8日で2,500件って、ボットで延々と試されていたんでしゅね……
ボスそう、人手ではなく自動化された総当たり風の試行だ。だからこそ検知の閾値設計が問われる。
サービス事業者と利用者、それぞれの立場でやるべきことをまとめます。
リスト型アカウントハッキングは、別サービスから流出した認証情報を、別サイトのログインに片っ端から試す攻撃です。
パスワードを使い回しているユーザーが1人でもいれば、攻撃者は確実に侵入口を得ます。
自社のシステムが堅牢でも、利用者の習慣に依存する点が厄介な脆弱性です。
事業者側の検知・防御ポイントをまとめます。
利用者ができる対策はシンプルですが効果的です。
パスワード使い回しをやめ、可能な限りMFAを有効化し、転職系・金融系・メインメールの3カテゴリだけはユニークなパスワードに変更してください。
パスワードマネージャを使えば、サービスごとに長い文字列を管理する負担はゼロに近づきます。
チップス転職・金融・メインメールの3つだけでも、ユニークなパスワードに変えるでしゅ!
ボスそうだ。完璧を目指す必要はない。守るべき3つから固めるだけで、リスクは大きく下がる。
ミドルの転職の事案は、検知と初動が早かった反面、利用者の使い回し癖がそのまま侵入リスクを引き起こす構図を改めて示しました。
事業者は閾値監視・MFA標準・漏洩PW拒否の3点を、利用者は「守るべき3アカウント」のユニーク化とMFA有効化を急いでください。
履歴書情報や経歴データが集まる転職サイトは、漏洩した瞬間のキャリア被害が大きい領域です。
習慣を変えるなら、被害ニュースが出た今がいちばん動きやすいタイミングです。
ボスセキュリティは習慣の積み上げだ。今日の一歩で、明日の被害は確実に減らせる。
チップス帰ったら、まずパスワードマネージャー入れてみるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
