ゴルフ場を襲うランサムウェア ── DX化の裏に潜む危機管理の死角

韓国の京畿道加平郡にあるゴルフ場、Lee&Lee カントリークラブが2026年4月、会員10万人分の個人情報流出を公表した[1]。同じ年の7月には豪州シドニー近郊のペナントヒルズ・ゴルフクラブが、2025年9月にはアイルランドのKクラブがそれぞれランサムウェア(身代金要求型ウイルス)攻撃を受けている[3][4]。会員データと決済のデジタル化が進むゴルフ場が、世界各地でサイバー攻撃の標的になっている。

米国のプロゴルファー団体であるPGA of Americaは2026年、セキュリティ企業LevelBlue(レベルブルー、米国の大手マネージドセキュリティサービス会社)と提携し、組織としての防御体制の構築に動いた[2]。個々の施設任せの対応が限界を迎えていることの表れだ。

IT・DX(デジタルトランスフォーメーション)に携わる読者にとって、この一連の事案は業態特有の弱点を示す教材になる。国や攻撃者が異なっても、狙われる構造には共通点がある。

なぜゴルフ場はランサムウェアの標的になりやすいのか

ゴルフ場は会員の個人情報と決済データを大量に保有しながら、セキュリティ投資が他業種より遅れやすい業態だ[2]。LevelBlueのブログは、オンラインのティータイム予約、モバイル決済端末、季節雇用によるスタッフの入れ替わりの多さを、攻撃者にとっての侵入口として挙げている[2]。予約や決済のシステムが止まれば当日の営業自体ができず、被害は即座に売上へ跳ね返る。

会員制クラブという業態も要因になる。年会費や入会金という大口の決済情報、家族構成や勤務先まで含む詳細な会員データが一か所に集まりやすい。中小規模の運営会社が多く、専任のセキュリティ担当者を置く余力がない施設が大半だという事情もある[2]。

具体例が米国カリフォルニア州のアメリカンゴルフ社だ。全米で40以上のゴルフ場を運営する同社は2024年7月、ランサムウェア集団Medusa(メデューサ)の攻撃を受けた[2]。会員データや財務情報を含む154.9GBのデータが窃取され、攻撃者は身代金として200万ドル(約3億1000万円。1ドル=155円換算)を要求し、支払いが遅れるごとに1日10万ドル(約1550万円)を上乗せするとした。

窃取された情報には口座に関わる財務データや従業員の免許証・パスポート番号まで含まれていたとされる。会員制クラブが抱えるデータの幅広さが、攻撃者にとっての価値を高めている構図だ。

アメリカンゴルフ社への身代金要求(2024年)
ゴルフテック/海外展開

中古ゴルフクラブの購入は長い間、「eBay(イーベイ)やメルカリで勘で選ぶ」か「専門店に持ち込んでフィッティング(自分の体格・スイングに合わせてクラブのスペックを最適化する作業)を受ける」かの二択しかなかった。米国カリフォルニア州サンディ[…]

韓国・豪州・アイルランドで何が起きたのか

2025年から2026年にかけて、少なくとも3か国のゴルフ場で情報流出やランサムウェア被害が確認された。事案ごとに攻撃者・規模・対応は異なる。

国・地域施設攻撃者発生・発覚時期被害内容
韓国・京畿道Lee&Lee カントリークラブ北朝鮮系ハッカー集団の疑い2025年10月侵入、2026年4月発覚会員10万人分の氏名・生年月日・ID・パスワード等[1]
豪州・NSW州ペナントヒルズ・ゴルフクラブQilin(キーリン)2026年7月2日発覚詳細未公表[3]
アイルランド・キルデア州KクラブSafePay(セーフペイ)2025年9月、アイリッシュオープン直前財務・IT記録の一部流出[4]

韓国の事案は、警察が北朝鮮系ハッカー集団を追跡する捜査の過程で発覚した。同クラブのサイトに侵入したマルウェアが2025年10月に仕込まれ、氏名・生年月日・性別・ID・パスワード・電話番号・メールアドレス・住所が流出した[1]。警察からの通知を受け、クラブは翌日には会員へ告知している。

ペナントヒルズを名乗り出たQilinは、2022年の出現以来99か国で1968件の被害を主張する、現時点で最も活発なランサムウェア集団だ。2026年に入ってからは月あたり100件前後の被害を公表しているという[3]。

Kクラブを襲ったSafePayは、盗んだVPN(社外から社内ネットワークへ安全に接続する仕組み)の認証情報で侵入する手口を持つ集団だ。同クラブは身代金を支払わず、宿泊客の情報流出はなかったと説明している[4]。

2025年9月のKクラブから2026年7月のペナントヒルズまで被害が続いた時系列図
3か国のゴルフ場被害の時系列
ゴルフテック/海外展開

韓国のアグリテック企業メイサ(Meissa、ソウル拠点の空間情報・ドローン解析企業)が、ゴルフ場の芝管理を対象にした製品メイサグリーン(MeissaGreen)を展開している。ドローンで毎日コースを撮影し、芝の健康指標と薬剤散布のログをひ[…]

PGA of AmericaとLevelBlueの提携は何を意味するのか

PGA of Americaは2026年、主要トーナメントを含めたサイバーセキュリティ体制を外部の専門企業に委ねる契約を結んだ。契約により、LevelBlueは2028年まで、PGA of America本体とPGA Championship、KPMG Women’s PGA Championshipという2つの主要大会の公式サイバーセキュリティアドバイザーとなる[2]。

LevelBlueは、世界最大級の「純粋なマネージドセキュリティサービス提供会社(自社製品の販売を主目的とせず、監視・防御の専業サービスに徹する企業)」を自称する。大企業向けと同水準の脅威検知ツールをPGA of Americaに提供するほか、業界見本市のPGA Showや両選手権の会場でゴルフ場経営者向けの相談対応も行う[2]。

業界団体が専門企業と組織として提携する動きは、個々のゴルフ場任せの防御では限界に来ていることの裏返しでもある。米国では2023年にもTopgolf Callaway(トップゴルフ・キャロウェイ、ゴルフ用品大手)のECサイトで111万人超の顧客情報が流出しており、被害は特定の地域や企業規模に留まらない。

PGA of Americaが選んだのは、自前でセキュリティ人材を抱える方針ではなく、専業事業者に丸ごと委ねる方針だった。中小規模の運営が多いゴルフ業界にとって、外部専門企業との提携は有力な選択肢の一つになる。

LevelBlueがPGA本体・2大会・経営者相談の3方向へサービスを提供する構図
PGA of AmericaとLevelBlueの提携構図
ゴルフテック/ベンチャー

この記事でわかること マーケティング1.0から6.0までの進化と、その本質的な意味 プラットフォームビジネス特有のマーケティング課題 ― 「鶏と卵」問題 ターゲティングの順序が投資意思決定を左右する理由 LTV/CACを使った投資効果の定[…]

日本のゴルフ場・IT担当者は何を学ぶべきか

海外の事例が示すのは、DX化の速度にセキュリティ投資が追いついていない構造だ。会員管理・予約・決済のオンライン化を進めるほど、攻撃者にとっての接点は増えていく。

韓国の事案では、被害発覚から会員への告知まで1日で動いている。初動の速さは被害拡大を防ぐ重要な要素になる。日本のゴルフ場でも会員管理システムや予約サイトのオンライン化は一般的になっており、海外事例と同じ弱点を抱えている施設は少なくない。

点検すべき論点は3つある。VPNなど外部接続の認証管理を定期的に見直しているか。季節雇用者を含めたアカウント権限の棚卸しを行っているか。

保有する会員データの量に見合ったセキュリティ予算を確保できているか。いずれも今すぐ着手できる項目だ。

自前で専任担当者を置けない中小規模の施設ほど、PGA of Americaのように外部の専業企業と提携する発想が有効になる。防御を内製するか外部委託するかの判断は、DX投資全体の設計と切り離せない論点になっている。

システム棚卸しから3つの点検を経て体制判断に至る流れ図
日本のゴルフ場が点検すべき3論点

まとめ

会員データと決済のデジタル化は、ゴルフ場の利便性を高める一方で攻撃対象となる接点を広げてきた。韓国・豪州・アイルランドの事案と、PGA of AmericaとLevelBlueの提携は、この構造の両面を映している。DX投資を進める担当者にとって、利便性の追求と同じ比重でセキュリティ予算を見直す価値がある教訓だ。

被害は規模の大小を問わずに起きている。自施設のシステム構成を棚卸しし、外部接続とアカウント管理の弱点を洗い出すところから始める価値がある。海外の被害事例は、対岸の火事ではなく先行事例として読むべき段階に来ている。

よくある質問(FAQ)

Q. ランサムウェアとは何か。
A. 侵入先のデータを暗号化し、復号と引き換えに金銭を要求する不正プログラムを指す。近年は暗号化前にデータを盗み出し、支払わなければ公開すると脅す二重恐喝型が主流になっている。

Q. なぜゴルフ場は他業種に比べて被害が目立つのか。
A. 会員の個人情報や決済データを保有する一方、専任のセキュリティ担当者を置く施設が少なく、投資が後回しになりやすいためだ[2]。

Q. 日本のゴルフ場にも同様のリスクはあるか。
A. 会員管理や予約システムのオンライン化は日本でも進んでおり、海外事例と同じ侵入口となる外部接続・決済端末・アカウント管理の不備は存在する。海外の被害構造を踏まえた点検が有効だ。

出典

[1] https://en.sedaily.com/society/2026/04/26/gapyeong-golf-club-data-breach-exposes-100000-customers (代替: https://www.koreatimes.co.kr/southkorea/law-crime/20260426/data-of-100000-leaked-from-golf-course-north-korean-hacking-suspected)
[2] https://www.levelblue.com/blogs/levelblue-blog/par-for-the-course-why-golf-facilities-are-prime-targets-for-cyberattackshttps://www.levelblue.com/newsroom/press-releases/levelblue-named-official-cybersecurity-advisor-of-the-pga-of-america-pga-championship-and-kpmg-womens-pga-championship/
[3] https://www.cyberdaily.au/security/13851-exclusive-qilin-claims-cyber-attack-on-pennant-hills-golf-club
[4] https://www.kfmradio.com/news/localnews/cyber-attack-disrupts-k-club-systems-ransom-demanded/