エン株式会社は2026年6月5日、同社が運営する転職情報サービス「ミドルの転職」において、外部から不正に取得されたとみられるID・パスワードを使ったリスト型攻撃による不正ログインが発生したと発表しました。
同社の発表によると、2026年5月26日から6月2日の期間に、「ミドルの転職」の会員情報ページへの不正ログインが確認され、ログイン総数は2,503件にのぼります。
また、同時期にはキャリアデザインセンターが運営する「女の転職type」でも、リスト型攻撃による不正ログインが確認されています。報道によると、こちらは2026年5月26日から28日にかけて不正なログイン操作が確認され、不正ログイン試行回数は114万件超、不正ログインは38,442件、ユニークユーザー数は18,253名とされています。
現時点で、これらの事案が同一の攻撃者によるものと断定することはできません。
しかし、同じ転職サービス領域で、同じ2026年5月26日を起点にリスト型攻撃が確認されている点は、会員サービスを運営する企業にとって見過ごせない動きです。
本記事では、ミドルの転職と女の転職typeの事案をもとに、リスト型攻撃の仕組み、転職サービスが狙われる理由、企業が確認すべき不正ログイン対策を整理します。
ミドルの転職で何が起きたのか
エン株式会社の発表によると、2026年6月2日、「ミドルの転職」のWebサーバーにおいて不正なログインを検知しました。
その後の社内調査により、2026年5月26日から6月2日の期間、外部から不正に取得されたと思われるID、つまりメールアドレスとパスワードを使った不正ログインが発生していたことが判明しました。
この攻撃は、リスト型アカウントハッキング、いわゆるリスト型攻撃と説明されています。
不正ログインの対象は「ミドルの転職」の会員情報ページで、ログイン総数は2,503件です。
エン株式会社は、不正ログインを試行していた送信元IPアドレス群からの通信をブロックし、セキュリティ対策の強化を行ったとしています。
また、所轄警察署への通報・相談、個人情報保護委員会への報告も実施しています。
同社によると、ユーザーのパスワードはハッシュ化して管理されており、現時点で同社内からIDやパスワードが流出した事実は確認されていません。
また、「ミドルの転職」への不正ログインによる履歴書などの情報改ざん、企業側管理画面への不正ログインや情報改ざん、同社の他サービスにおける同様の不正ログインは確認されていないとされています。
被害拡大防止策として、不正ログインに該当するユーザーだけでなく、該当しないユーザーも含めて、システム側でパスワードリセットを実施した点も重要です。
女の転職typeでも同時期にリスト型攻撃
同時期には、キャリアデザインセンターが運営する転職サイト「女の転職type」でも、リスト型攻撃による不正ログインが確認されています。
報道によると、2026年5月26日から28日にかけて、第三者が外部から取得した情報を利用したリスト型攻撃による不正なログイン操作が確認されました。
不正ログイン試行回数は1,141,828件とされ、そのうち不正ログインされたものが38,442件、ユニークユーザー数は18,253名とされています。
ログイン後には、一部の会員情報ページが閲覧された可能性があると報じられています。
ここで注目すべきなのは、ミドルの転職と女の転職typeの双方で、攻撃確認期間の起点が2026年5月26日である点です。
もちろん、これだけで同一攻撃者や同一キャンペーンと断定することはできません。
しかし、同じ転職サービス領域で、同時期にリスト型攻撃が確認されていることは、攻撃者が転職サービスのアカウントを高価値な標的として見ている可能性を示しています。
リスト型攻撃とは
リスト型攻撃とは、何らかの方法で入手されたID・パスワードの組み合わせを使い、別のサービスにログインを試みる攻撃です。
たとえば、あるサービスから流出したメールアドレスとパスワードが、別の転職サイト、ECサイト、金融サービス、ポイントサービスでも使い回されている場合、攻撃者はその情報を使ってログインを試みます。
この攻撃は、以下のような名称でも呼ばれます。
- リスト型攻撃
- リスト型アカウントハッキング
- パスワードリスト攻撃
- アカウントリスト型攻撃
- クレデンシャルスタッフィング
重要なのは、攻撃対象となった企業からID・パスワードが流出していなくても、不正ログインが成立する可能性がある点です。
企業側がパスワードを適切にハッシュ化して管理していたとしても、利用者が他サービスと同じパスワードを使い回していれば、外部流出した認証情報を使ってログインされる可能性があります。
そのため、リスト型攻撃は、企業側と利用者側の両方にまたがる問題です。
企業側は「自社から漏れていないから問題ない」と考えるのではなく、外部で流通した認証情報が自社サービスへの不正ログインに使われる前提で対策を設計する必要があります。
なぜ転職サービスが狙われるのか
今回の事案で特に考えたいのは、なぜ転職サービスが狙われるのかという点です。
転職サービスは、一般的な会員サイトやECサイトと比べても、非常に高密度な個人情報を扱います。
登録される可能性がある情報には、以下のようなものがあります。
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
- 現在または過去の勤務先
- 職務経歴
- 学歴
- 年収
- 希望職種
- 希望勤務地
- 転職意向
- 自己PR
- スキル情報
- 資格情報
- 履歴書・職務経歴書
- スカウト履歴
- 応募履歴
これらの情報は、攻撃者にとって悪用価値が高いものです。
単なるメールアドレスや電話番号だけでなく、勤務先、職歴、スキル、転職意向が組み合わされることで、より精度の高いフィッシングやなりすましに使われる可能性があります。
たとえば、以下のような二次被害が考えられます。
- 転職希望者を装ったフィッシングメール
- 採用担当者を装った偽スカウト
- 実在企業名を使った求人詐欺
- 現勤務先に関する情報を悪用した標的型攻撃
- 職務経歴をもとにしたビジネスメール詐欺
- 他サービスへの不正ログイン試行
- 個人の属性に合わせた詐欺メッセージ
特にミドル層や専門職向けの転職サービスでは、役職者、管理職、技術者、経理・財務・法務・情報システム担当者など、企業内で重要な権限を持つ人の情報が含まれる可能性があります。
そのため、転職サービスへの不正ログインは、個人情報漏えいだけでなく、企業への侵入の足がかりとして悪用されるリスクもあります。
今回の事案で注目すべきポイント
今回の事案から、会員サービス運営企業が注目すべきポイントは大きく5つあります。
1. 自社から漏れていなくても不正ログインは起きる
ミドルの転職の発表では、ユーザーのパスワードはハッシュ化して管理されており、現時点で同社内からIDやパスワードが流出した事実は確認されていないとされています。
それでも、不正ログインは発生しています。
これは、リスト型攻撃の典型的な特徴です。
攻撃者は、別のサービスから流出した可能性のあるID・パスワードを使って、複数のサービスにログインを試みます。
そのため、企業側は、自社システム内でパスワードを安全に管理するだけでなく、外部流出済みの認証情報が使われる前提で対策を設計する必要があります。
2. パスワードリセットは有効だが、継続対策が必要
今回、エン株式会社は不正ログインに該当するユーザーだけでなく、被害対象外のユーザーも含めて、システム側でパスワードリセットを実施しています。
これは被害拡大防止策として重要です。
ただし、パスワードリセットだけでは、リスト型攻撃を根本的に防げるわけではありません。
利用者が再設定後も他サービスと同じパスワードを使えば、再び不正ログインされる可能性があります。
そのため、企業側では以下のような継続的な対策が必要です。
- 使い回しパスワードへの注意喚起
- パスワード再設定時の強度チェック
- 過去に漏えいしたパスワードの利用制限
- 多要素認証の導入
- 異常ログイン検知
- ログイン試行のレート制限
- 不審IPや自動化アクセスのブロック
3. ログイン試行の大量化に備える必要がある
女の転職typeの事案では、不正ログイン試行回数が114万件超と報じられています。
この規模の攻撃では、単純なID・パスワード認証だけではなく、Bot対策や自動化攻撃への対策が重要になります。
確認すべきポイントは以下です。
- 同一IPからの大量ログイン試行を制限しているか
- 複数IPからの分散ログイン試行を検知できるか
- 同一アカウントへの連続失敗を制御しているか
- 複数アカウントへの低頻度試行を検知できるか
- Botや自動化ツールのアクセスを識別できるか
- ログイン成功後の挙動を監視しているか
リスト型攻撃では、攻撃者が大量のID・パスワードを機械的に試すことが多くあります。
そのため、単純なログイン失敗回数だけでなく、IP、端末、User-Agent、通信パターン、ログイン後の操作を組み合わせた検知が必要です。
4. 会員情報ページの閲覧も大きなリスクになる
不正ログインというと、金銭被害やポイント不正利用が注目されがちです。
しかし、転職サービスの場合は、会員情報ページを閲覧されるだけでも大きなリスクになります。
履歴書、職務経歴、応募履歴、スカウト履歴、希望条件などは、本人にとって非常にセンシティブな情報です。
仮に情報の改ざんや不正応募が確認されていなくても、第三者が閲覧した可能性があるだけで、利用者の不安は大きくなります。
企業側は、会員情報の閲覧ログ、ダウンロードログ、プロフィール変更履歴、応募操作履歴などを確認し、どの情報にアクセスされた可能性があるのかを丁寧に整理する必要があります。
5. 業界単位で狙われる可能性がある
今回、複数の転職サービスで同時期にリスト型攻撃が確認されています。
同一攻撃者によるものかは断定できませんが、業界単位で同じような攻撃が集中することは珍しくありません。
攻撃者から見ると、同じ業界のサービスは似たような利用者層、似たようなログイン方式、似たような会員情報を持っている可能性があります。
そのため、ある業界でリスト型攻撃が確認された場合、同じ業界の他社も「自社はまだ被害が出ていない」ではなく、「次に狙われる可能性がある」と考えるべきです。
転職サービスに限らず、以下のような会員サービスも注意が必要です。
- ECサイト
- ポイントサービス
- 決済サービス
- 金融アプリ
- 証券サービス
- 旅行予約サイト
- チケット販売サービス
- マッチングアプリ
- 医療予約サービス
- 教育・学習サービス
- SaaS管理画面
会員サービス運営企業が確認すべき対策
リスト型攻撃への対策は、パスワードだけでは不十分です。
企業は、ログイン前、ログイン時、ログイン後、インシデント発生時の各段階で対策を設計する必要があります。
1. ログイン試行の監視と制御
まず必要なのは、ログイン試行の監視と制御です。
以下を確認しましょう。
- 短時間に大量のログイン試行がないか
- 同一IPから複数アカウントへの試行がないか
- 同一アカウントへの連続失敗がないか
- 複数国・複数地域から不自然なアクセスがないか
- 普段使われない端末やブラウザからのログインがないか
- ログイン成功率が不自然に変化していないか
リスト型攻撃では、ログイン失敗だけでなく、少数の成功ログインを見逃さないことが重要です。
2. 多要素認証を導入する
ID・パスワードだけに依存すると、認証情報が使い回されていた場合に不正ログインを防ぎにくくなります。
そのため、重要な会員サービスでは多要素認証の導入を検討すべきです。
特に、以下のような操作では追加認証を求める設計が有効です。
- ログイン時
- 新しい端末からのログイン
- メールアドレス変更
- パスワード変更
- 電話番号変更
- 住所変更
- 履歴書・職務経歴書の閲覧
- 個人情報のダウンロード
- 応募操作
- 送金・決済・ポイント交換
ただし、多要素認証を強くしすぎると、ユーザーの離脱につながる可能性もあります。
そのため、すべてのログインに一律で強い認証を求めるのではなく、リスクの高い操作や不審な状況で追加認証を求めるリスクベース認証も有効です。
3. リスクベース認証を検討する
リスクベース認証とは、ログイン時の状況や操作内容に応じて、認証の強さを変える考え方です。
たとえば、普段と同じ端末・同じ地域からのログインでは通常の認証にし、普段と異なる端末・地域・時間帯からのログインでは追加認証を求めます。
確認する要素には、以下があります。
- IPアドレス
- 位置情報
- 端末情報
- ブラウザ情報
- ログイン時間帯
- 過去の利用履歴
- 失敗回数
- アクセス頻度
- ログイン後の操作内容
- 重要情報へのアクセス有無
転職サービスのように、利用者体験も重要なサービスでは、リスクベース認証によって、セキュリティと使いやすさのバランスを取りやすくなります。
4. 漏えい済みパスワードの利用を防ぐ
パスワード再設定時には、過去に漏えいしたパスワードや、推測されやすいパスワードの利用を防ぐことが重要です。
たとえば、以下のような対策です。
- 短すぎるパスワードを禁止する
- よく使われるパスワードを禁止する
- 過去に漏えいしたパスワードの利用を制限する
- パスワード使い回しを避けるよう注意喚起する
- パスワード管理ツールの利用を促す
- 再設定直後の不審ログインを監視する
単に「英数字記号を混ぜる」だけでは、リスト型攻撃への対策として十分ではありません。
すでに流出しているパスワードを使わせないことが重要です。
5. Bot対策・自動化攻撃対策を行う
リスト型攻撃は、自動化ツールやBotを使って大量にログイン試行されることがあります。
そのため、Bot対策も重要です。
具体的には、以下を検討します。
- レート制限
- CAPTCHAの適切な利用
- Bot検知
- 不審IPのブロック
- IPレピュテーションの活用
- User-Agentや通信パターンの分析
- ログインAPIへの過剰アクセス制御
- CDNやWAFによる防御
- アカウントロックの設計
ただし、アカウントロックを強くしすぎると、攻撃者が意図的に大量ログイン失敗を起こし、正規ユーザーを締め出す攻撃にもつながります。
そのため、ロック設計は慎重に行う必要があります。
6. ログイン後の重要操作を監視する
不正ログイン対策では、ログインを防ぐだけでなく、ログイン後の操作も監視する必要があります。
確認すべき操作は以下です。
- 会員情報の閲覧
- 履歴書・職務経歴書の閲覧
- 個人情報のダウンロード
- メールアドレス変更
- パスワード変更
- 応募操作
- スカウト返信
- 決済情報の閲覧
- ポイント交換
- 退会操作
リスト型攻撃では、ログインが成功したアカウントに対して、攻撃者がどのページを閲覧したか、どの情報を取得した可能性があるかを調査することが重要です。
ログイン成功だけでなく、ログイン後の行動を記録・監視することで、影響範囲の特定がしやすくなります。
7. 利用者への通知と再設定導線を整える
不正ログインが確認された場合、利用者への通知と再設定導線が重要になります。
通知では、以下を明確にする必要があります。
- 何が起きたのか
- どの期間に発生したのか
- どの情報が閲覧された可能性があるのか
- パスワード再設定が必要か
- 他サービスでも同じパスワードを使っていないか
- 不審なメールや連絡に注意すべきか
- 問い合わせ窓口はどこか
特にリスト型攻撃では、利用者が他サービスでも同じパスワードを使っている可能性があります。
そのため、自社サービスのパスワード再設定だけでなく、他サービスのパスワード変更も促すことが重要です。
利用者側が確認すべきこと
リスト型攻撃では、利用者側の対応も重要です。
今回のような事案を知った場合、利用者は以下を確認しておきたいところです。
- 該当サービスから通知が来ていないか
- パスワード再設定が必要か
- 他サービスで同じパスワードを使っていないか
- メールアドレスとパスワードの組み合わせを使い回していないか
- 不審なログイン履歴がないか
- 登録情報が勝手に変更されていないか
- 応募履歴やスカウト返信に不審な操作がないか
- フィッシングメールや偽スカウトに注意する
特に転職サービスでは、登録している情報がセンシティブです。
現職の勤務先や職務経歴、転職意向に関する情報が含まれる場合もあるため、他サービスよりも慎重に確認する必要があります。
モバイル不正対策ラボの見解
今回の事案は、転職サービスに限った問題ではありません。
会員サービスを運営する企業にとって、リスト型攻撃は常に起こり得る不正ログインリスクです。
特に、金融アプリ、決済アプリ、ポイントサービス、EC、マッチングアプリ、求人サービスのように、多数の会員アカウントと個人情報を扱うサービスでは、外部流出した認証情報を使った攻撃を前提に対策を考える必要があります。
重要なのは、「パスワードが正しければ本人」と考えないことです。
攻撃者が正しいID・パスワードを持っている前提で、次のような多層防御を設計する必要があります。
- ログイン試行の監視
- Bot対策
- 多要素認証
- リスクベース認証
- 端末情報の確認
- ログイン後の重要操作監視
- 個人情報閲覧時の追加認証
- 異常検知
- インシデント時の通知・リセット手順
モバイルアプリを提供している場合は、さらに端末リスクやアプリの正当性も考慮すべきです。
たとえば、Root化・Jailbreak端末、エミュレーター、改ざんアプリ、Hooking環境からのアクセスは、不正ログイン後の情報取得や自動化に悪用される可能性があります。
つまり、不正ログイン対策はサーバ側だけで完結しません。
アカウント、認証、端末、アプリ、API、ログ監視を組み合わせて考えることが重要です。
企業が確認すべきチェックリスト
最後に、会員サービス運営企業が確認すべき項目をまとめます。
| 項目 | 確認ポイント |
|---|---|
| ログイン監視 | 短時間の大量ログイン試行を検知できるか |
| 分散攻撃対策 | 複数IPからの低頻度試行を検知できるか |
| Bot対策 | 自動化ツールやBotアクセスを識別できるか |
| 多要素認証 | 重要操作や新端末ログイン時に追加認証できるか |
| リスクベース認証 | 端末・地域・時間帯・操作内容に応じて認証強度を変えられるか |
| パスワード再設定 | 漏えい済み・推測されやすいパスワードを制限できるか |
| ログイン後監視 | 個人情報閲覧やダウンロードを記録しているか |
| 会員通知 | 不正ログイン時に迅速に通知・再設定依頼できるか |
| 委託先管理 | 管理画面や会員情報に触れる外部アカウントを管理しているか |
| API保護 | ログインAPIや会員情報APIにレート制限・認可制御があるか |
| モバイル対策 | 不正端末・改ざんアプリ・エミュレーター対策を検討しているか |
| インシデント対応 | 調査・遮断・報告・通知・再発防止の手順があるか |
まとめ
エン株式会社「ミドルの転職」では、2026年5月26日から6月2日にかけて、外部から不正に取得されたとみられるID・パスワードを使ったリスト型攻撃が発生し、2,503件の不正ログインが確認されました。
同時期には、キャリアデザインセンター「女の転職type」でも、リスト型攻撃による大規模な不正ログインが確認されています。
これらが同一の攻撃者によるものかは断定できません。
しかし、同じ転職サービス領域で同時期にリスト型攻撃が確認されたことは、会員サービス運営企業にとって重要な警告です。
転職サービスには、氏名や連絡先だけでなく、職歴、学歴、勤務先、転職意向、自己PR、履歴書・職務経歴書など、悪用価値の高い情報が含まれます。
そのため、不正ログインによって会員情報ページが閲覧されるだけでも、利用者にとって大きなリスクになります。
企業は、ID・パスワードだけに依存するのではなく、ログイン監視、Bot対策、多要素認証、リスクベース認証、重要操作時の追加認証、ログイン後の行動監視を組み合わせて対策を強化する必要があります。
リスト型攻撃は、どの会員サービスでも起こり得ます。
自社からパスワードが漏れていない場合でも、外部流出済みの認証情報が自社サービスへの不正ログインに使われる可能性があります。
会員サービスを運営する企業は、「正しいパスワードでログインしているから本人」と考えるのではなく、ログインの前後を含めて不審な挙動を検知できる仕組みを整えるべきです。
参考情報
- エン株式会社「『ミドルの転職』への不正アクセス発生に関するお詫びとご報告」
- ScanNetSecurity「『女の転職 type』にリスト型アカウントハッキング、不正ログイン 38,442 件に」