広島銀行でランサムウェア攻撃による顧客データ流出事件が発生 - LBM社Jijillaツールの脆弱性が原因

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年10月29日、広島銀行から衝撃的な発表がありました。顧客満足度調査のデータが、業務委託先のシステムへのランサムウェア攻撃により流出したというものです。この事件は、単なる一企業の問題ではなく、現代のサプライチェーン攻撃の典型例として、私たちに重要な教訓を与えてくれます。

事件の全貌：複雑な委託チェーンで発生したセキュリティインシデント
流出したデータの内容と被害規模
サプライチェーン攻撃の巧妙な手口を分析
1. 1. 弱いリンクを狙った戦略的攻撃
2. 2. 入力補助ツール「Jijilla」の脆弱性を悪用
個人ができるセキュリティ対策
1. 1. アンチウイルスソフトの導入による包括的な保護
2. 2. VPN によるネットワーク通信の暗号化
企業が学ぶべき教訓と対策
1. 1. サプライチェーン全体のセキュリティ管理
2. 2. Webサイト脆弱性診断サービスによる予防的対策
ランサムウェア攻撃の最新トレンドと対策
類似事例から見る業界全体の課題
まとめ：多層防御による包括的なセキュリティ対策を
一次情報または関連リンク

事件の全貌：複雑な委託チェーンで発生したセキュリティインシデント

今回の事件は、以下のような複雑な委託関係の中で発生しました：

広島銀行が顧客満足度調査を企画
野村総合研究所（NRI）に調査業務を委託
日本アスペクトコア（NAC）にデータ入力を再委託
ローレルバンクマシン（LBM）の入力補助ツール「Jijilla」を使用

問題は、この最終段階のLBM社のサーバーが2025年9月25日に不正アクセスを受け、ランサムウェア攻撃の標的となったことでした。フォレンジック調査を行う私の経験からすると、このような多層的な委託関係こそが、現代のサイバー犯罪者が狙う「弱いリンク」となっているのです。

流出したデータの内容と被害規模

今回流出が確認・想定されるデータは以下の通りです：

回答者ID（銀行が識別用に付与した番号）
アンケートの自由記述欄の内容
自由記述欄に氏名を記載していた顧客2名の個人情報

幸い、住所や電話番号などの直接的な個人識別情報は含まれていませんでしたが、フォレンジック分析の観点から見ると、これらの情報も悪用される可能性は十分にあります。特に、自由記述欄には顧客の率直な意見や要望が含まれており、これらの情報が悪意のある第三者の手に渡ることで、フィッシング攻撃やソーシャルエンジニアリングの材料として使用される危険性があります。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

サプライチェーン攻撃の巧妙な手口を分析

今回の事件で注目すべきは、攻撃者が直接的に広島銀行のシステムを狙ったのではなく、委託チェーンの最も脆弱な部分を狙ったという点です。これは「サプライチェーン攻撃」と呼ばれる手法で、以下のような特徴があります：

1. 弱いリンクを狙った戦略的攻撃

大手銀行や有名企業は強固なセキュリティ体制を敷いていますが、その下請け・孫請け企業のセキュリティレベルは必ずしも同水準とは限りません。攻撃者はこの「セキュリティ格差」を巧妙に利用しています。

2. 入力補助ツール「Jijilla」の脆弱性を悪用

LBM社のJijillaツールへの不正アクセスが起点となったこの攻撃は、業務効率化のために導入されたツールがセキュリティホールとなった典型例です。私が過去に調査した同様のケースでは、こうしたツールのアップデート不足やアクセス制御の甘さが原因となることが多く見られます。

個人ができるセキュリティ対策

このような大規模なデータ流出事件を受けて、個人レベルでできる対策を考えてみましょう。

1. アンチウイルスソフトの導入による包括的な保護

個人のデバイスを狙ったランサムウェア攻撃から身を守るためには、信頼性の高いアンチウイルスソフトが不可欠です。特に、リアルタイム保護機能やランサムウェア専用の検知機能を持つソリューションを選択することをお勧めします。

2. VPN によるネットワーク通信の暗号化

外部のクラウドサービスやオンラインバンキングを利用する際は、VPN を使用することで通信内容を暗号化し、中間者攻撃やデータ盗聴から保護できます。

企業が学ぶべき教訓と対策

今回の事件から、企業が学ぶべき重要な教訓があります。

1. サプライチェーン全体のセキュリティ管理

委託先・再委託先のセキュリティレベルを定期的に監査し、契約にセキュリティ要件を明記することが重要です。私がフォレンジック調査を行った企業の中でも、この点を軽視していたために大きな被害を受けたケースが数多くありました。

2. Webサイト脆弱性診断サービスによる予防的対策

企業が運用するWebシステムやアプリケーションの脆弱性を事前に発見し、修正することで、このような攻撃を未然に防ぐことができます。Webサイト脆弱性診断サービスを定期的に実施することで、攻撃者に狙われる前に弱点を把握し、適切な対策を講じることが可能です。

ランサムウェア攻撃の最新トレンドと対策

近年のランサムウェア攻撃は、単にファイルを暗号化するだけでなく、データを窃取して公開すると脅迫する「二重恐喝」型が主流となっています。今回の広島銀行の事例も、この手法が使われた可能性が高いと考えられます。

CSIRTの現場で見てきた経験では、こうした攻撃への対策として以下の点が特に重要です：

定期的なバックアップとその復旧テスト
ネットワークセグメンテーションによる被害拡大の防止
従業員へのセキュリティ教育の徹底
インシデント対応計画の策定と訓練

類似事例から見る業界全体の課題

今回の広島銀行の事例は孤立したものではありません。記事中でも言及されているように、同様の委託チェーンの中で他の金融機関でもインシデントが発生しています。これは、金融業界全体が同じような委託構造を持っており、同様のリスクを抱えていることを示しています。

フォレンジック調査の現場では、このような「業界共通の脆弱性」が連鎖的にインシデントを引き起こすケースを多く見てきました。一つの事件が発覚すると、同じサービスを利用している他の企業でも立て続けに被害が発覚することは珍しくありません。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

まとめ：多層防御による包括的なセキュリティ対策を

今回の広島銀行のランサムウェア攻撃事件は、現代のサイバーセキュリティ脅威の複雑さと深刻さを如実に示しています。個人レベルではアンチウイルスソフトやVPN による基本的な防御を、企業レベルではWebサイト脆弱性診断サービスによる予防的対策とサプライチェーン全体のセキュリティ管理が不可欠です。

重要なのは、セキュリティは一度整備すれば終わりではなく、継続的な監視と改善が必要だということです。今回の事件を教訓として、私たち一人ひとりがセキュリティ意識を高め、適切な対策を講じることで、同様の被害を防ぐことができるでしょう。