2024年5月26日、BPO(ビジネスプロセスアウトソーシング)企業のイセトーがランサムウェア攻撃を受け、307万人超の個人情報が流出した。驚くべきはその「原因」だ。VPN機器は3年間ファームウェアを更新せず、管理者パスワードは英小文字のみ11桁で7年間一度も変更されておらず、MFAは存在しなかった。「やるべきことをやっていなかった」という初歩的な欠陥が、豊田市・徳島県・三菱UFJ信託銀行を含む30以上の委託元を巻き込む大規模なサプライチェーン被害を引き起こした。個人情報保護委員会は2025年3月19日に行政指導を行い、委託先管理の重要性に警鐘を鳴らした。
組織概要
株式会社イセトーは、名古屋市に本社を置くBPO(ビジネスプロセスアウトソーシング)企業だ。主な事業は帳票印刷・封入発送・請求書発行・帳票類のデジタルアーカイブ・自治体向けアウトソーシングなど。創業は1952年で、自治体・金融機関・大手民間企業など多数の顧客から個人情報を含む業務を受託していた。
BPO企業という性質上、自社の規模以上に大量の個人情報を預かっている。委託元が「大手だから安心」という信頼をもとにデータを預けているが、その委託先がどのようなセキュリティ水準にあるかは、委託元が積極的に監査しなければ把握できない。イセトーの事案はこのサプライチェーンリスクの典型例だ。
何が起きたのか
タイムライン
- 2021年4月頃:VPN機器のファームウェアが最後に更新された時点(推定)。以降3年間、更新されなかった。
- 2024年5月26日:8Baseランサムウェアグループがイセトーのシステムに侵入し、ランサムウェアを展開。複数サーバーの暗号化を実行。同日中にイセトーが異常を検知し、システムを遮断。
- 2024年5月下旬〜6月:イセトーが各委託元(自治体・企業)に被害の可能性を通知。被害範囲の特定調査を開始。
- 2024年6月〜秋:各委託元(豊田市・徳島県・和歌山市・クボタ等)が相次いで個人情報漏洩の可能性を公表。被害規模が段階的に明らかになる。
- 2024年後半〜2025年初頭:フォレンジック調査の進展とともに漏洩件数の確定作業が進む。最終的な漏洩確認件数:3,076,477人分。
- 2025年3月19日:個人情報保護委員会がイセトーに対して個人情報保護法に基づく行政指導(勧告)を行う。管理の不備を公式に認定。
攻撃経路の分析
侵入経路:3年間未更新のVPN(確認済み)
フォレンジック調査および個人情報保護委員会への報告により、以下の事実が確認されている:
- VPN機器のファームウェアが約3年間(2021年4月頃以降)更新されていなかった。この間に公開された複数の重大なCVEが未適用のまま放置されていた。
- 攻撃者はこの未パッチのVPN機器の脆弱性を突いて、認証なしにネットワークへの初期アクセスを得たとみられる(一部推定を含む)。
権限昇格:7年間変更されなかった管理者パスワード(確認済み)
さらに調査で以下が確認された:
- 管理者アカウントのパスワードが約7年間変更されていなかった(確認済み)。
- そのパスワードは英小文字のみ11桁という脆弱な形式だった(確認済み)。英小文字のみの11桁パスワードは、現代のGPUを使ったブルートフォース攻撃で数分〜数時間で解読される可能性がある。
- 多要素認証(MFA)は設定されていなかった(確認済み)。
VPN経由でネットワークに侵入した攻撃者は、この脆弱なパスワードを入手(クレデンシャルスタッフィング・ブルートフォース・パスワードスプレー等の手段が考えられる)して管理者権限を取得し、自由にシステム内を移動できる状態になった。
8Baseの特徴
8Baseは2023年から急速に活動を活発化させたランサムウェアグループだ。Phobosランサムウェアの亜種を使用するとも分析されている。二重脅迫モデルを採用し、暗号化と同時にデータを窃取してリークサイトで公開する圧力をかける。比較的小〜中規模の組織を多数攻撃するスタイルで知られ、セキュリティ管理が行き届きにくい企業を標的にする。
被害内容
システム被害
- 暗号化されたサーバー:社内の複数サーバー(台数は非公表)
- 業務停止:帳票印刷・発送業務・各種BPO業務が停止。委託元業務への直接影響が発生
個人情報漏洩:3,076,477人分
- 合計:3,076,477人分
- 民間企業関連:2,509,886人分
- 地方公共団体関連:566,591人分
主な委託元と漏洩件数(確認済み分)
- 豊田市:148,620人分(各種通知書・証明書類関連)
- 徳島県:約200,000人分(国民健康保険・介護保険関連書類)
- 和歌山市:約151,000人分(市税・国保関連書類)
- クボタ:約61,000人分(OB向け通知書等)
- 三菱UFJ信託銀行:顧客情報(件数は段階的に確認)
- 伊予銀行:顧客情報(件数は段階的に確認)
- コブモン(Kobumon):その他民間企業(複数)
- その他、自治体・民間企業を合わせて30以上の委託元に影響
漏洩した情報の種類
委託元ごとに異なるが、代表的なものは以下の通りだ:
- 氏名・住所・生年月日・電話番号・マイナンバー関連書類(一部)
- 税務書類・保険関連書類に記載された情報
- 金融機関顧客情報(口座番号等が含まれる場合も)
- 企業のOB・退職者向けに送付した通知書の情報
なぜ被害が拡大したのか
1. 三重の基本管理欠陥が重なった
今回の攻撃で最も衝撃的なのは、被害の原因が高度な攻撃技術ではなく「基本的なセキュリティ管理の未実施」だという点だ:
- VPN未更新(3年間):毎年何十件もの重大なVPN脆弱性が公開される中で、3年間ノーケアで放置
- 弱いパスワード(英小文字のみ・7年間変更なし):現代の標準的なパスワードポリシー(12文字以上・大文字小文字数字記号混在)を大きく下回る
- MFA未設定:仮にパスワードが漏洩しても、MFAがあれば不正ログインを防ぐ最後の砦になる
これらは単独でも問題だが、三つが同時に揃うことで攻撃者にとって「完璧な入口」が形成された。
2. BPO企業特有の「過多なデータ保有」
BPO企業は事業の性質上、複数の委託元からの個人情報を大量に蓄積・処理する。一事業者へのサイバー攻撃が、関係するすべての委託元の顧客・住民に波及するのが「サプライチェーン型被害」の本質だ。イセトーの場合、自社の脆弱なセキュリティが30以上の組織の307万人に直撃した。
3. 委託元の監査が機能していなかった
個人情報保護法では、個人情報の取り扱いを委託する場合、委託先への適切な管理・監督義務が委託元にも課されている。今回の事案では、豊田市・徳島県・三菱UFJ信託銀行などの委託元がイセトーのセキュリティ管理状況を十分に監査できていなかった。「信頼できる取引先だから」という慣習的な信頼が、技術的なセキュリティ確認の代替にはなり得ない。
4. 行政指導が示す法的責任
個人情報保護委員会は2025年3月19日、イセトーに対して個人情報保護法に基づく行政指導(勧告)を行った。指導の内容は「安全管理措置が不十分であった」という認定だ。これは法的・社会的な責任追及の起点となり、委託元からの損害賠償請求訴訟リスクも生じうる。
同様の攻撃を防ぐ方法
VPN管理の徹底
- VPN機器ベンダー(Fortinet・Palo Alto・Cisco・Ivanti等)のセキュリティアドバイザリを毎週確認し、重大な脆弱性は72時間以内にパッチを適用する体制を作る
- CISA KEVカタログを週次でモニタリングし、自社が使用するVPN機器のCVEが追加されていないか確認する
- VPN機器のEOL(サポート終了)スケジュールを把握し、EOL機器の置換計画を立てる
パスワードポリシーとMFAの強制
- パスワードポリシー:最低12文字(推奨16文字以上)、大文字・小文字・数字・記号の混在を必須化する
- Active DirectoryまたはIDPのグループポリシーでパスワードポリシーを強制適用し、担当者の「好意的な運用」に依存しない仕組みにする
- 管理者アカウント・VPNログイン・リモートデスクトップには必ずMFAを設定する
- パスワードの定期変更より「長くランダムで使い回しのないパスワード+MFA」の方が現代では有効だと理解する(定期変更強制は短いパスワードの使い回しを招く場合がある)
委託先セキュリティ管理(委託元向け)
- 個人情報を委託する場合、委託先に対してセキュリティチェックリスト(VPN管理・MFA・パッチ適用状況・バックアップ)の自己申告を年次で求める
- 重要な委託先については、第三者によるセキュリティ監査(ISO 27001取得状況・ペネトレーションテスト実施状況等の確認)を契約条件に含める
- 委託契約書に「セキュリティインシデント発生時の即時通知義務」「損害賠償条項」「監査権」を明記する
- 委託先への個人情報提供量を必要最低限に限定する(データ最小化の原則)
自治体・公共機関向けBPO委託のポイント
- マイナンバーを含む情報を処理委託する場合、特定個人情報の安全管理措置に関するガイドラインに基づく委託先管理が必要だ
- 委託先のクラウド利用・データ保管場所・アクセス制御ポリシーを契約前に確認する
- 年次の委託先セキュリティ監査を実施し、その結果を次年度の委託継続判断に反映させる
情シス担当者が確認すべき項目
- VPN機器のファームウェアは現在最新バージョンか。最後の更新日を記録しているか
- VPN機器のCVEを定期的に確認する担当者・スケジュールが決まっているか
- すべての管理者アカウントにMFAが設定されているか
- パスワードポリシー(文字数・複雑さ)がActive Directory等で強制されているか。「英字のみ」などの弱いパスワードを物理的に作れない設定になっているか
- 管理者パスワードの最終変更日を確認できるか。1年以上変更されていないアカウントはないか
- 現在、個人情報を委託しているBPO・印刷会社・アウトソーシング先はどこか。そのリストはすぐに出せるか
- 委託先にセキュリティ管理状況の確認(書面・監査)を年次で行っているか
- 委託契約書にセキュリティインシデント発生時の通知義務・監査権が含まれているか
- 自社に個人情報を委託している上位委託元(発注者)から、セキュリティ管理の確認を求められた場合に回答できる体制が整っているか
- 個人情報保護委員会への報告義務が発生するインシデントの基準を担当者が把握しているか(漏洩が1,000件以上、または要配慮個人情報が含まれる場合等)
類似事例
- KADOKAWAグループ(2024年6月):BlackSuitランサムウェアによる攻撃。ニコニコ動画が約2ヶ月停止し254,241人の個人情報漏洩。EDR未導入・ESXi集中管理・バックアップ不備が被害拡大の要因。
- 名古屋港統一ターミナルシステム(NUTS)(2023年7月):LockBitによるランサムウェア攻撃。名古屋港のコンテナターミナルオペレーションシステムが約3日間停止し、国内最大規模の港湾障害となった。重要インフラにおけるOT/ITセキュリティの問題。
- 大阪急性期・総合医療センター(2021年10月):給食委託業者のVPN経由でランサムウェアが侵入。電子カルテシステムが約2ヶ月停止。通常診療の回復に85日を要した。サプライチェーンリスクとVPN管理の問題が共通する。
参考情報
- 株式会社イセトー「不正アクセスによる情報漏洩に関するお知らせ」(2024年6月)
- 個人情報保護委員会「株式会社イセトーに対する行政上の対応について」(2025年3月19日)
- 豊田市「イセトー社へのランサムウェア攻撃に係る個人情報漏洩について」(2024年)
- 徳島県 個人情報漏洩関連プレスリリース(2024年)
- 和歌山市 個人情報漏洩関連プレスリリース(2024年)
- JNSA(日本ネットワークセキュリティ協会)インシデント事例資料
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」委託先管理に関する箇所