ローレルバンクマシンのJijilla不正アクセス事件：みずほ証券・丸三証券で顧客データ流出が判明

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年10月、金融業界に衝撃が走りました。ローレルバンクマシン株式会社（LBM）が運営するAI-OCRサービス「Jijilla（ジジラ）」へのランサムウェア攻撃により、みずほ証券と丸三証券の顧客アンケートデータが相次いで流出したのです。この事件は、委託先管理の重要性と、企業のサイバーセキュリティ対策の抜本的見直しの必要性を浮き彫りにしています。

事件の全容：委託先の委託先で発生した深刻な情報漏洩
1. みずほ証券の被害状況
2. 丸三証券の被害状況
ランサムウェア攻撃の手口と影響範囲
1. 攻撃の時系列
委託先管理の落とし穴：なぜこの事件は防げなかったのか
1. 問題の根本原因
2. 個人・中小企業への教訓
今すぐ実践すべきセキュリティ対策
1. 個人向けの対策
2. 企業向けの対策
ダークウェブでの情報流通の実態
今後の展望と企業が取るべき対応
1. 技術的対策の強化
2. 組織的対応の改善
まとめ：多層防御でリスクを最小化する
一次情報または関連リンク

事件の全容：委託先の委託先で発生した深刻な情報漏洩

今回の事件で特に注目すべきは、直接の委託先ではなく「再委託先」で発生した不正アクセスが、大手証券会社の顧客情報流出につながったという点です。

みずほ証券の被害状況

みずほ証券では、顧客満足度調査の回答データ入力業務を野村総合研究所（NRI）に委託していました。しかし、NRIはさらにNRIフィナンシャル・グラフィックスを経由して別会社に再委託。この再委託先が利用していたJijillaサービスが攻撃を受け、郵送で回答した顧客の「回答者ID（11桁英数字）」とアンケート回答内容が流出しました。

丸三証券の被害状況

丸三証券も同様の委託構造で被害を受けました。2024年度実施の「お客様アンケート」データ入力業務をNRIに委託、NRIはNRIフィナンシャル・グラフィックスおよび日本アスペクトコア（NAC）へ再委託。NACが使用していたJijillaがランサムウェア攻撃を受け、4,114件の電子化データ（回答者IDと回答内容）の流出可能性が確認されています。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

ランサムウェア攻撃の手口と影響範囲

フォレンジック調査の経験から申し上げると、今回のようなランサムウェア攻撃は企業にとって最も深刻な脅威の一つです。攻撃者は単にシステムを暗号化するだけでなく、機密データを窃取し「二重脅迫」を仕掛けるケースが増加しています。

攻撃の時系列

9月25日：LBMが運用する「Jijilla」サーバーで不正アクセス発生、一部機能停止
10月15日：LBMが個人情報の外部漏洩可能性を公表
10月17日：みずほ証券が顧客データ流出を発表
10月21日：丸三証券が4,114件のデータ流出可能性を公表

この約1ヶ月間の対応は、インシデントレスポンスとしては比較的迅速でしたが、被害の全容把握には時間を要しました。これは、複雑な委託関係により影響範囲の特定が困難だったことを示しています。

委託先管理の落とし穴：なぜこの事件は防げなかったのか

現役CSIRTメンバーとして多くのインシデント対応に携わってきた経験から言えることは、今回のケースは「委託先の委託先」における管理不備が原因だということです。

問題の根本原因

多くの企業が直接の委託先とは契約やセキュリティ要件を詳細に取り決めますが、「再委託先」までは管理が行き届いていないのが現状です。今回も、みずほ証券・丸三証券ともに自社システムへの侵害は確認されておらず、再委託先のクラウドサービスでの事故でした。

個人・中小企業への教訓

これは大企業だけの問題ではありません。個人事業主や中小企業でも、会計事務所やシステム開発会社など、重要なデータを委託することがあります。委託先が適切なセキュリティ対策を講じているか、定期的に確認することが重要です。

今すぐ実践すべきセキュリティ対策

個人向けの対策

個人の方でも、金融機関や保険会社からのアンケートに回答する際は注意が必要です。特に、フリーコメント欄に個人を特定できる情報を記載しないよう気をつけましょう。また、パソコンには必ずアンチウイルスソフトをインストールし、最新の脅威から身を守ることが重要です。

さらに、インターネット利用時はVPN を使用することで、通信の暗号化と匿名化を図り、個人情報の漏洩リスクを最小限に抑えることができます。

企業向けの対策

企業の場合、委託先管理の徹底が急務です。特に以下の点を重視する必要があります：

再委託先までを含めた管理体制の構築
定期的なセキュリティ監査の実施
インシデント発生時の迅速な報告体制の確立
データ分離管理の徹底

また、自社のWebサイトやシステムの脆弱性を定期的にチェックすることも重要です。Webサイト脆弱性診断サービスを利用して、潜在的なセキュリティリスクを早期発見・修正することをお勧めします。

ダークウェブでの情報流通の実態

フォレンジック分析の実務では、流出した情報がダークウェブでどのように取引されるかを調査することもあります。今回のような顧客アンケートデータは、直接的な個人情報は含まれていないものの、マーケティング情報として価値を持つ可能性があります。

特に、回答者IDと回答内容の組み合わせから、統計的な分析により個人の特定が可能になるケースもあり、二次被害のリスクは決してゼロではありません。

今後の展望と企業が取るべき対応

この事件を受けて、金融業界全体でサイバーセキュリティ対策の見直しが進むと予想されます。特に、以下の点が重要になるでしょう：

技術的対策の強化

ゼロトラスト・アーキテクチャの導入
データの暗号化とアクセス制御の強化
AIを活用した異常検知システムの導入

組織的対応の改善

委託先管理規程の見直し
インシデント対応計画の更新
従業員のセキュリティ意識向上

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

まとめ：多層防御でリスクを最小化する

今回のローレルバンクマシンJijilla事件は、現代のサイバーセキュリティが直面する複雑な課題を浮き彫りにしました。委託先の委託先で発生した攻撃により、大手証券会社の顧客情報が流出するという事態は、従来のセキュリティ対策では不十分であることを示しています。

個人の方は、日頃からのセキュリティ対策（アンチウイルスソフトやVPN の利用）に加え、個人情報の取り扱いに注意を払うことが重要です。企業の方は、委託先管理の徹底とWebサイト脆弱性診断サービスによる定期的な脆弱性チェックを実施し、多層防御によるセキュリティ体制の構築を急ぐべきでしょう。

サイバー攻撃の脅威は日々進化しています。今回の事件を教訓として、個人・企業を問わず、セキュリティ対策の見直しと強化に取り組むことが、デジタル社会で安全に活動するための必須条件と言えるでしょう。