プレストレストコンクリート工学会で個人情報漏えい事件！2年以上ネット公開されていた真相と対策

また新たな個人情報漏えい事件が発生しました。今度は公益社団法人プレストレストコンクリート工学会が運営する「コンクリート構造診断士登録更新者向け eラーニング」で、受講者の個人情報が約2年3か月間もインターネット上で誰でも閲覧できる状態になっていたのです。

私はフォレンジックアナリストとして、これまで数々の情報漏えい事件の調査に携わってきました。この事件の詳細を分析すると、委託業者のシステム設定ミスという「あるある」な原因でありながら、その影響の深刻さに愕然とします。

事件の概要：約2年間も個人情報が丸見え状態

2025年8月上旬に発覚したこの事件では、以下の情報が外部から自由に閲覧できる状態になっていました：

特に注目すべきは、受講パスワードまで平文で公開されていたという点です。これは情報セキュリティの基本中の基本を無視した致命的なミスです。

フォレンジック調査の経験から言えば、このような事件の9割は「設定ミス」が原因です。今回も委託業者がシステム設定を行った2023年5月から、約2年3か月間も問題が放置されていました。

実際に私が担当した類似事例では、開発段階でテスト用に公開設定にしたファイルを、本番環境でもそのまま使ってしまったケースがありました。開発者は「テスト用だから大丈夫」と思っていても、実際には本物の個人情報が含まれていたのです。

学会側は「直近4週間のアクセスログでは不正アクセスは確認されていない」と発表していますが、これには大きな問題があります。

2年3か月間のうち、わずか4週間分しかログを確認していないのです。これは氷山の一角を見ているに過ぎません。

私がこれまでに調査した事例では、情報が公開状態になってから数日以内に悪意のある第三者によって情報が収集され、闇市場で売買されるケースが多発しています。特に：

2024年に私が調査した中小企業の事例では、Web制作会社に委託したサイトで顧客情報が漏えいしました。原因は今回と同じく「設定ミス」でしたが、企業側は「委託先の責任」として対応が後手に回り、結果的に顧客離れと信頼失墜を招きました。

今回のプレストレストコンクリート工学会の事件も、同様のリスクを抱えています。建設業界という専門性の高い分野での情報漏えいは、業界内での信頼関係に深刻な影響を与える可能性があります。

このような事件から身を守るために、個人レベルでできる対策があります：

今回のように受講パスワードが漏れても、他のサービスで同じパスワードを使っていなければ被害を最小限に抑えられます。各サービスで異なる強固なパスワードを使いましょう。

重要なサービスと、研修や講習会用のメールアドレスを分けることで、リスクを分散できます。

情報が漏えいした後に起こりがちなのが、その情報を使った攻撃です。アンチウイルスソフトを導入することで、悪意のあるメールやWebサイトからの攻撃を防げます。

公的機関や企業のeラーニングシステムにアクセスする際は、VPN を使って通信を暗号化することで、通信傍受のリスクを減らせます。

委託業者を利用する企業や組織は、以下の対策が不可欠です：

委託前に相手方のセキュリティ体制を詳細に確認し、定期的な監査を実施する必要があります。

今回のような設定ミスは、Webサイト脆弱性診断サービスで発見できる可能性が高いです。定期的な診断により、問題の早期発見・早期対応が可能になります。

問題が発生した際の迅速な対応計画を事前に策定し、関係者間で共有しておくことが重要です。

この事件の影響は、今後数か月から数年間続く可能性があります。漏えいした情報を使った以下のような攻撃が予想されます：

受講者の皆さんは、少なくとも今後1年間は、不審なメールや電話に特に注意を払う必要があります。

今回のプレストレストコンクリート工学会の情報漏えい事件は、委託業者のミスという「人的要因」が引き起こした典型的な事例です。しかし、技術が進歩しても、最終的には人が設定・運用する以上、このようなリスクは常に存在します。

重要なのは、完璧なセキュリティは存在しないという前提で、複数の防御ラインを構築することです。個人レベルではアンチウイルスソフトやVPN の活用、組織レベルではWebサイト脆弱性診断サービスによる定期チェックが有効な対策となります。

デジタル社会で安全に活動するためには、常に最新の脅威情報をキャッチアップし、適切な対策を講じ続けることが不可欠です。今回の事件を教訓に、皆さんも自身のセキュリティ対策を見直してみてください。