不動産業を狙うサイバー攻撃—個人情報・取引情報を守るセキュリティ対策
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
不動産取引は「なりすまし詐欺」の最高の標的
1件あたり数千万〜数億円が動く不動産取引は、サイバー犯罪者にとって最も効率よく大金を得られる標的のひとつです。特に近年急増しているのが「ビジネスメール詐欺(BEC:Business Email Compromise)」です。売主・買主・仲介業者・司法書士の間でやり取りされるメールを攻撃者が監視し、支払いのタイミングで振込先を自分の口座に書き換えたメールを送りつける手口です。
米国ではReal Estate Wire Fraudとして社会問題化しており、FBI の報告では不動産取引関連のBEC被害は年間数十億ドル規模に達しています。国内でも同様の手口による被害が報告されており、対岸の火事ではありません。さらに不動産業は顧客の住所・収入・家族構成・資産情報・連帯保証人情報など、他業種より踏み込んだ個人情報を大量に扱うため、情報漏洩による被害も深刻です。
不動産業が抱える法的義務とセキュリティの関係
不動産業者には、個人情報の適切な管理に関する複数の法的義務があります。
関連法規・規程 | 主な義務内容 | 違反した場合のリスク |
|---|---|---|
個人情報保護法(2022年改正) | 個人情報の適切な取得・管理・廃棄。漏洩時の本人通知と個人情報保護委員会への報告義務 | 行政処分・罰則・損害賠償 |
宅地建物取引業法 | 顧客情報の適正管理。電子契約・IT重説に係る安全管理措置 | 業務停止・免許取消 |
全宅連・全日本不動産協会ガイドライン | 個人情報の取扱いに関する自主規制 | 会員資格・信用への影響 |
2022年5月の改正宅建業法施行により、重要事項説明のオンライン化(IT重説)・売買契約の電子化が全面解禁されました。利便性が高まった反面、電子システムを経由したサイバーリスクも新たに生まれています。
不動産業特有のサプライチェーンリスク
①不動産管理システム・CRMのベンダーリスク
物件管理・顧客管理(CRM)・賃貸管理など、不動産業務を支えるシステムのベンダーが攻撃を受けた場合、数千件〜数万件規模の顧客情報が一度に流出するリスクがあります。特にSaaS型のシステムは、ベンダー側のセキュリティインシデントが自社のデータに直接影響します。
また、賃貸管理システムは家賃の振込口座情報を扱うため、ベンダーへの不正アクセスが金融詐欺に悪用されるリスクもあります。
②IT重説・電子契約システムの脆弱性
2022年以降急速に普及したIT重説(オンライン重要事項説明)・電子契約サービスは、インターネット経由で重要な法的文書をやり取りするため、通信の傍受・なりすまし・文書の改ざんリスクを伴います。提供ベンダーのセキュリティ水準が低い場合、重要事項説明書や売買契約書が第三者に閲覧される可能性があります。
③レインズ(REINS)接続環境を経由した攻撃
国土交通大臣指定の不動産流通機構「レインズ」は、不動産業者が物件情報を登録・検索する義務を持つシステムです。レインズへの接続に使用するPCやネットワークがマルウェアに感染していた場合、アカウント情報の窃取や物件情報の不正閲覧・改ざんにつながります。
④不動産ポータルサイトとの連携システム
SUUMO・athome・LIFULL HOME'S などのポータルサイトへの物件情報自動連携システムも、サプライチェーンリスクの対象です。連携システムのAPI認証情報が漏洩した場合、物件情報の不正な書き換えや、連携しているシステム全体への侵入につながります。
特に注意すべき攻撃:ビジネスメール詐欺(BEC)の手口
不動産業において最も金銭的被害が大きいのがBECです。典型的な手口は以下のとおりです。
- Step 1 監視:仲介業者・売主・買主のいずれかのメールアカウントに不正アクセスし、取引の進捗をひそかに監視する
- Step 2 タイミング把握:残代金の支払い日が近づいたタイミングを把握する
- Step 3 なりすまし:売主や仲介業者になりすまして「振込先口座が変更になりました」というメールを買主に送る
- Step 4 被害発生:買主が攻撃者の口座に残代金を振り込んでしまう
一度送金されてしまうと資金の回収は極めて困難です。メールだけで振込先変更の連絡が来た場合は、必ず電話で直接確認する運用ルールを徹底することが最大の防御になります。
不動産業が取り組むべき4つの対策
①BEC対策:振込確認の運用ルールを整備する
BECはシステムの問題ではなく、人の行動で防げる攻撃です。以下のルールを事務所全体で徹底してください。
- メールのみで振込先変更を受け付けない。必ず電話や対面で直接確認する
- メールに記載された電話番号ではなく、既知の連絡先(名刺・過去のやり取り)に電話する
- 全スタッフにBEC事例の研修を実施し、「怪しいと思ったら確認する」文化を作る
- メールアカウントに多要素認証(MFA)を設定し、アカウント乗っ取りを防ぐ
②ベンダー評価チェックリストで取引先を確認する
不動産管理システム・IT重説ツール・電子契約サービス・ポータル連携システムのベンダーを以下で評価してください。
確認項目 | 確認方法 | 重要度 |
|---|---|---|
ISO 27001 / ISMS 認証の取得 | ベンダーWebサイト・資料 | ★★★ |
通信・保存データの暗号化(TLS・AES等) | サービス仕様書 | ★★★ |
多要素認証(MFA)の提供・強制設定 | 管理画面の設定項目 | ★★★ |
インシデント発生時の通知義務・対応SLA | 契約書に明記されているか | ★★★ |
データの保存場所(国内データセンターか) | サービス仕様書・問い合わせ | ★★ |
アクセスログの記録・確認機能 | 管理画面・仕様書 | ★★ |
脆弱性発見時のパッチ適用ポリシーと通知フロー | 契約書・SLA | ★★ |
バックアップ・DR対応と復旧目標時間 | サービス仕様書 | ★★ |
年次セキュリティ監査・ペネトレーションテストの実施 | 問い合わせ | ★ |
③顧客の個人情報管理を強化する
不動産取引で収集する個人情報(住所・収入証明・資産情報・連帯保証人情報等)は、取引完了後の保管期間と廃棄方法を明確にルール化してください。2022年改正個人情報保護法では、個人情報漏洩時の報告義務が強化されており、「知らなかった」では済まされません。
- 個人情報を含む書類・データは必要な期間のみ保持し、期限後は確実に廃棄する
- 顧客情報を含むファイルはパスワード保護・暗号化して保管する
- スタッフごとにアクセス権限を設定し、担当外の顧客情報には触れられない仕組みにする
- 退職したスタッフのアカウントは即日削除する
④レインズ接続PCのセキュリティを独立して管理する
レインズへのアクセスに使用するPCは、可能であれば業務用の一般PCと分けて管理することが理想です。少なくとも以下を確認してください。
- セキュリティソフトを最新の状態に保つ
- OSおよびブラウザのアップデートを速やかに適用する
- 不審なサイトへのアクセスや不要なソフトのインストールを禁止する
- レインズのパスワードは他のサービスと使いまわさず、定期的に変更する
バクティーなら、不動産業のセキュリティをまとめてサポートします
バクティーは、不動産会社のITセキュリティ対策を月額固定でサポートします。BEC対策の運用ルール整備・ベンダー評価・個人情報管理の仕組み化・メールアカウントへの多要素認証設定まで、専任担当者がリモートで対応します。
「取引金額が大きい分、何かあったときの損害が怖い」「自社のセキュリティ体制を一度見直したい」という方は、まずは30分の無料相談からお気軽にご連絡ください。
まとめ
- 不動産業はBEC(ビジネスメール詐欺)による振込先偽装が特に危険で、1件で数千万〜数億円の被害になりえます
- IT重説・電子契約の全面解禁で新たなサイバーリスクが生まれています
- 不動産管理システム・レインズ接続環境・ポータル連携システムがサプライチェーンリスクの主な経路です
- 振込先変更は必ず電話で確認する運用ルールの整備が、BEC対策として最も効果的です
- 個人情報保護法の改正により、漏洩時の報告義務が強化されています。収集・保管・廃棄のルール整備が不可欠です
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡