委託先経由で307万件漏えい|イセトーへのランサムウェア攻撃から学ぶサプライチェーンリスク
secureインシデント概要
株式会社イセトーは、納税通知書・保険通知書・年金関連書類などの帳票印刷・情報処理を官民問わず幅広く受託する企業だ。自治体や金融機関・教育機関がアウトソースした個人情報を大量に扱う、典型的な「情報処理受託事業者」である。
2024年5月26日、同社の複数サーバーおよびPC端末がランサムウェアに感染し、業務システムが停止した。調査の結果、攻撃グループ「8base」による侵入が確認され、委託元から預かっていた顧客データも窃取・公開された。
6,477人漏えい個人情報件数(合計)
団体被害を受けた委託元組織数
未更新VPN機器のパッチ未適用期間
漏えいした個人情報の内訳は、民間事業者委託分が250万9886人、行政機関等委託分が56万6561人。委託元は民間企業32団体・行政機関等9団体(再委託を含めると約100団体)に上る。KUMON(公文教育研究会)や三井住友信託銀行、神奈川県茅ケ崎市・藤沢市、徳島県、愛知県豊田市などが被害を公表した。
攻撃の経緯
侵入経路:3年間放置されたVPN脆弱性
調査で判明した侵入経路は、VPN機器の既知脆弱性だ。イセトーは2021年4月以降、実質約3年間にわたってVPN機器のセキュリティアップデートを適用していなかった。この間に公開されたパッチが未適用のまま放置され、攻撃者はその脆弱性を悪用して社内ネットワークへの侵入に成功した。
個人情報保護委員会の行政指導によると、基幹系ネットワークの管理者アカウントのパスワードは7年間変更されておらず、多要素認証(MFA)も未導入だった。また「業務効率のため」に、本来保管すべきでないサーバーに業務データが置かれたままになっており、業務終了後も削除されていなかった。こうした複合的な管理不備が被害を拡大させた。
委託先経由で被害が広がるメカニズム
この事件が「サプライチェーン攻撃の典型例」と呼ばれる理由は、攻撃の標的(イセトー)と被害者(委託元の自治体・企業)が異なる点にある。委託元は直接攻撃されていないにもかかわらず、顧客情報が漏えいし、被害公表・お詫び対応・問い合わせ対応を強いられた。
| フェーズ | 攻撃者の行動 | 被害側の状況 |
|---|---|---|
| 偵察・侵入 | VPN機器の脆弱性スキャン→認証突破→社内ネットワーク侵入 | イセトー社内。委託元は状況を把握できない |
| 横展開・情報収集 | サーバーを横断しながら委託元データを探索・窃取 | 委託元データが集積するサーバーが標的に |
| ランサムウェア展開 | サーバー・端末を暗号化、同時にデータを外部送信 | イセトーの業務停止→委託元の業務も滞る |
| リーク・脅迫 | リークサイトで窃取データを公開しダウンロード可能な状態に | 委託元の顧客情報が不特定多数の目にさらされる |
| 波及対応 | — | 約100の委託元が被害公表・個人情報保護委への報告・顧客対応に追われる |
中小企業への影響
自社の顧客情報・従業員情報を外部業者(印刷会社・給与計算代行・クラウドサービス等)に預けている場合、その委託先が攻撃を受ければ自社名義で情報漏えいが発生する。中小企業でも個人情報保護委への報告義務・顧客への通知義務が生じる。
大企業の取引先・下請けとして個人情報や機密情報を扱う中小企業は、大企業への「踏み台」として狙われやすい。自社のセキュリティが甘いと、取引先への侵入経路になってしまう。取引先からセキュリティ対策の証明を求められるケースも増加している。
今回のイセトーと同様に、「テレワーク導入時に設置したVPN機器を更新せずに使い続けている」という中小企業は少なくない。VPN機器の脆弱性は警察庁・JPCERT/CCが繰り返し警告しており、未更新のVPNはランサムウェアの最も主要な侵入口の一つだ。
中小企業が今すぐ取るべき対策
① VPN機器の更新確認(最優先)
- 使用中のVPN機器メーカーのサポートページで、現在のファームウェアバージョンを確認する
- 最新版が出ている場合は速やかに更新する。更新手順はメーカーのマニュアルに記載がある
- 機器がサポート終了(EOL)になっている場合は、買い替えを検討する。サポート切れ機器にパッチは提供されない
- 更新後は動作確認を行い、接続できることを確認してから完了とする
② 委託先のセキュリティ水準を確認する
- 個人情報を預けている委託先に対し、セキュリティ対策の状況(パッチ適用・アクセス管理・暗号化等)を確認する書面を送る
- 委託契約書にセキュリティ基準への準拠義務・インシデント発生時の報告義務を明記する
- ISO27001認証・プライバシーマーク取得の有無を確認するのも一つの目安になる
- 「信頼しているから大丈夫」という性善説ベースの管理は、今回の事件が示した通り通用しない
③ 委託先に渡すデータを最小化する
- 業務上必要な最小限の情報のみを委託先に提供する。不要な項目は渡さない
- 委託業務完了後は、委託先に預けたデータを速やかに削除させる(契約書に削除確認義務を入れる)
- 今回の事件では「業務終了後も削除されずに残っていたデータ」が漏えいしており、この点が行政指導でも問題視された
④ インシデント発生を前提とした準備
- 委託先から「不正アクセスが発生した可能性がある」と連絡を受けた際の対応手順をあらかじめ決めておく
- 個人情報保護委員会への報告義務(漏えい等報告)の要件を確認しておく。報告期限は「知った日から3〜5日以内(速報)」
- 重要業務データのバックアップは、委託先とは独立した形で自社でも保持する
編集部まとめ
イセトー事件のポイントを3点に絞ると、①VPN機器の約3年間未更新という初歩的な管理ミスが侵入を許した、②一社への攻撃が約100団体・307万件の被害に波及した、③個人情報保護委から行政指導を受けるまで約1年かかった——ということだ。
中小企業にとっての教訓は明確だ。自社のVPN機器を今日確認し、委託先に預けているデータの管理状況を一度棚卸しする。この2点だけでも、サプライチェーン起因の情報漏えいリスクは大幅に下がる。「大企業の話」ではなく、委託元にも委託先にもなりうる中小企業こそ、この事件を自分事として受け止める必要がある。
参考情報
・株式会社イセトー「不正アクセスによる個人情報漏えいに関するお詫びとご報告」(2024年10月)
・個人情報保護委員会「株式会社イセトーに対する行政上の対応について」(2025年3月19日)
・警察庁・JPCERT/CC「ランサムウェア被害防止対策」
・IPA「情報セキュリティ10大脅威2025」2位:サプライチェーンや委託先を経由した攻撃
