東京都委託事業者パソナで個人情報800名分漏えい - サポート詐欺による不正アクセス事件の詳細と対策

2025年9月16日、東京都産業労働局が実施する「TOKYO特定技能Jobマッチング支援事業」の委託事業者・株式会社パソナにおいて、従業員PCがサポート詐欺に起因する不正アクセスを受け、応募者800名の個人情報が外部第三者に閲覧された可能性があることが判明しました。

現役のCSIRTメンバーとして多数のインシデント対応に携わってきた私が、今回の事件の詳細な分析と、個人・企業が取るべき具体的な対策について解説します。

事件の概要と被害状況

今回の個人情報漏えい事件は、2025年9月16日16:30頃に発生しました。被害を受けた情報は以下の通りです：

現時点で二次被害は確認されていませんが、ファイルの外部送信は未確認である一方、画面共有等による閲覧によって漏えいの可能性を否定できないとの調査結果が出ています。

今回の事件で使われた「サポート詐欺」は、近年急激に増加している攻撃手法です。手口は以下のような流れで行われました：

従業員が業務目的外でWeb閲覧中に詐欺サイトへ誘導されました。これは典型的なサポート詐欺の入り口で、正規のWebサイトを装った悪意あるサイトや、検索結果の上位に表示される偽のサポートページが使われることが多いです。

偽の「サポート」窓口を名乗る攻撃者が、親切で専門的な対応を装い、被害者の信頼を得ます。この段階で多くの被害者は「助けてもらっている」と錯覚してしまいます。

攻撃者の指示により、被害者自身がリモートアクセスソフトウェアをインストールし、画面操作を許可してしまいました。これにより、攻撃者は被害者のPC画面を自由に閲覧・操作できるようになります。

私がこれまで担当したサポート詐欺の事案では、以下のような特徴が共通して見られます：

今回も端末がロックされ、表示された番号への電話を促すという典型的な手口が使われました。これは心理的プレッシャーを与え、被害者を焦らせて冷静な判断を奪う狙いがあります。

攻撃者は単にファイルを外部送信するのではなく、画面共有を通じて情報を視覚的に確認し、必要な部分をスクリーンショットやメモで記録する場合があります。これにより、従来のファイル送信を監視するセキュリティツールでは検知が困難になります。

サポート詐欺による被害を防ぐため、個人ユーザーは以下の対策を徹底してください：

最新のアンチウイルスソフトは、サポート詐欺サイトへのアクセスをブロックする機能を持っています。特に、リアルタイム保護機能が有効なセキュリティソフトの導入は必須です。

業務用PCでの私的なWebブラウジングは控え、必要な場合はVPN を使用してセキュアな通信環境を確保することをお勧めします。

いかなる場合でも、見知らぬ相手からのリモートアクセス要求には応じないでください。正規のサポートであっても、一度電話を切って公式サイトの連絡先から改めて問い合わせることが重要です。

今回のような事件を防ぐため、企業は以下の対策を実施する必要があります：

今回のパソナの対応で評価できる点は、上司報告を受けて迅速にネットワーク遮断・電源断を実施し、社内セキュリティ統括部門が調査を開始したことです。

しかし、私の経験上、このような事案では以下の点も重要になります：

サポート詐欺は今後も進化を続ける攻撃手法です。特に、AI技術の発達により、より巧妙で自然な会話による誘導が可能になることが予想されます。

そのため、技術的対策だけでなく、従業員一人ひとりのセキュリティ意識向上が不可欠です。定期的な研修と実践的な模擬訓練を通じて、「怪しい」と感じる感覚を磨くことが重要になります。

今回の東京都委託事業者における個人情報漏えい事件は、サポート詐欺の危険性を改めて浮き彫りにしました。攻撃者は人間の心理を巧妙に利用し、被害者自身に攻撃への扉を開かせる手法を使います。

個人・企業を問わず、最新のセキュリティツールの導入と継続的な教育が、このような脅威から身を守る最も効果的な方法です。特に、個人情報を扱う業務に従事する方は、今回の事例を他人事とせず、自身の業務環境について今一度見直していただければと思います。