知財の対外流出から発覚

同社の発表によると、攻撃者は社内ポータルシステムが利用するクラウドストレージの認証情報（ID・パスワード等）を窃取し、正規の権限を装ってストレージ上のファイルを外部に持ち出したとみられる。同社のセキュリティ監視で侵入を検知したのではなく、知財の対外流出という二次的な痕跡から発覚した点が特徴だ。

個人情報保護委員会へは2026年5月11日に速報報告を済ませており、現時点で『anemoi』データ以外の情報が拡散・悪用された事実は確認されていないとしている。

漏えいの可能性がある個人情報　最大1万3559件の内訳

対象は7カテゴリに及ぶ。個人顧客（ハンドルネーム含む）約6017件、住所等を含む個人顧客約2626件、個人取引先約1859件、マイナンバーを含む個人取引先約484件、法人取引先約1452件、採用応募者約1007件、そして退職者を含む従業員約114件で、件数はいずれも調査中の暫定値だ。

特に深刻なのは後者2カテゴリだ。マイナンバーや、運転免許証・パスポート等とみられる本人確認書類の画像データが含まれており、なりすましやSIMスワッピングなどに悪用されれば被害が金融・行政の複数領域に及ぶおそれがある。

anemoi流出が発覚の発端　VA STOREは新規注文停止

きっかけは2026年4月19日、4月24日発売予定だった『anemoi』のマスターデータが海外サイトへ無断アップロードされているのを同社が確認したことだった。これを契機に調査を進め、認証情報窃取による持ち出しの可能性が判明した。

同社は安全が確認されるまで公式通販サイト「VA STORE」の新規注文受付を一時停止。再発防止策として、認証方式の抜本見直し、外部機関による24時間監視体制の整備、全従業員への情報セキュリティ教育強化の3点を挙げている。

対象者・購入者がいま取るべき対応

対象の可能性があるユーザーには順次個別連絡が行われているが、通知がなくても対象外が確定したわけではないとされる。心当たりがある場合は、身に覚えのない行政手続きや金融機関からの連絡に注意し、利用中サービスのログイン履歴や取引履歴を確認したい。

同社は特別窓口（フリーダイヤル0120-82-7085、平日10〜18時／メールcontact.privacy@visual-arts.jp）を設けている。

ゲーム業界では、未発売タイトルのマスターデータが最大の標的となる事例が繰り返されてきた。今回の件は、知財もまた個人情報と同じく守るべき情報資産であることを改めて突きつけている。