野村総研（NRI）顧客満足度調査で個人情報流出 - ランサムウェア攻撃が再委託先のクラウドツールを標的に

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

大手コンサルティング会社の野村総合研究所（NRI）とNRIフィナンシャル・グラフィックス（NRI-FG）で、顧客満足度調査に関連する個人情報流出が発生しました。この事案は、業務委託の連鎖によってセキュリティリスクがどこまで拡大するかを示す典型例として、非常に注目すべきケースです。

事案の概要：委託の連鎖で拡大したセキュリティリスク
ランサムウェア攻撃の手口と被害状況
1. 攻撃の詳細
流出した個人情報の内容
企業が直面するサプライチェーンリスク
1. 委託業務におけるセキュリティの盲点
個人・中小企業ができる対策
1. 基本的なセキュリティ対策
Webサイト運営者が知っておくべきこと
フォレンジック専門家からの提言
まとめ：多層防御の重要性
一次情報または関連リンク

事案の概要：委託の連鎖で拡大したセキュリティリスク

今回の情報流出は、以下のような複雑な委託構造で発生しました：

委託の連鎖

NRI・NRI-FG ← 取引先から顧客満足度調査を受託
日本アスペクトコア ← NRIからデータ入力業務を再委託
ローレルバンクマシン ← 入力補助ツール「Jijilla」を提供

攻撃者は、この委託チェーンの末端にあるクラウドツール「Jijilla」を狙い撃ちしました。フォレンジック調査の現場では、このような「弱い環環」を狙った攻撃が急増しています。

ランサムウェア攻撃の手口と被害状況

攻撃の詳細

発生日時： 2024年9月25日
攻撃対象： ローレルバンクマシンの入力補助ツール「Jijilla」
攻撃手法： 身代金要求を伴う不正アクセス（ランサムウェア攻撃）
被害確認： 10月15日に個人情報流出の痕跡を確認

現役CSIRTメンバーとして多くのランサムウェア事案を分析してきましたが、このケースは特に「サプライチェーン攻撃」の典型例です。攻撃者は大手企業を直接狙うのではなく、その関連業者のツールを標的にすることで、より大きな被害を狙ったのです。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

流出した個人情報の内容

第一フロンティア生命保険も同様の被害を受けており、流出が確認された情報は：

回答者ID（任意で付番された識別番号）
アンケートのフリーコメント内容
一部のコメントに氏名等を記載していた6名の個人情報

一見「軽微」に見えるかもしれませんが、フォレンジック調査では、このような情報でも悪用されるリスクは十分にあると考えます。特にフリーコメントには予想以上に詳細な個人情報が含まれていることが多いのです。

企業が直面するサプライチェーンリスク

委託業務におけるセキュリティの盲点

今回の事案から見えてくるのは、現代の企業が抱える「見えないリスク」です：

1. 委託先の委託先まで把握できているか？
多くの企業では、直接契約した委託先のセキュリティ対策は確認しても、その先の再委託先まではチェックが行き届いていません。

2. クラウドツールのセキュリティレベルは適切か？
業務効率化のために導入されるクラウドツールが、実は最大のセキュリティホールになっているケースが増えています。

3. インシデント発生時の連絡体制は機能するか？
今回のケースでは、9月25日に攻撃が発生してから10月15日まで被害の全容が分からなかった点も問題です。

個人・中小企業ができる対策

大企業でもこうした被害に遭う現状で、個人や中小企業はどう身を守れば良いでしょうか。

基本的なセキュリティ対策

1. アンチウイルスソフトの導入
ランサムウェアやマルウェアからの基本的な保護には、信頼性の高いアンチウイルスソフトが必須です。特に業務でクラウドツールを利用している場合は、リアルタイム保護機能が重要になります。

2. VPN による通信の暗号化
クラウドサービスへのアクセス時には、VPN を使用して通信経路を暗号化することで、中間者攻撃のリスクを軽減できます。

3. 委託先選定時のセキュリティ確認
業務委託する際は、以下の点を必ず確認しましょう：

セキュリティポリシーの有無
使用するツール・システムのセキュリティレベル
インシデント発生時の連絡体制
データ保護に関する具体的な措置

Webサイト運営者が知っておくべきこと

もしあなたがWebサイトを運営しており、顧客情報を扱っているなら、定期的な脆弱性診断は必須です。Webサイト脆弱性診断サービスを活用することで、攻撃者に狙われる前に弱点を発見・修正できます。

今回のNRIの事案でも、もし各段階で適切なセキュリティチェックが行われていれば、被害は防げた可能性があります。

フォレンジック専門家からの提言

デジタルフォレンジック調査の現場では、このような「委託の連鎖による被害拡大」が深刻な問題となっています。特に注意すべき点は：

証跡の追跡困難性
委託が複雑に絡み合うほど、攻撃の全容解明が困難になります。どこで、いつ、どのような攻撃が行われたかの特定に時間がかかり、その間に被害が拡大するリスクがあります。

責任の所在の曖昧化
今回のケースでも、NRI、日本アスペクトコア、ローレルバンクマシンのどこに主たる責任があるのか、判断が複雑です。

対策の実効性確保
委託チェーンの末端まで一貫したセキュリティポリシーを適用することの難しさが浮き彫りになっています。

まとめ：多層防御の重要性

野村総研の事案は、現代のデジタル社会におけるセキュリティの複雑さを象徴する出来事です。どんなに大手企業でも、委託先のセキュリティホールから被害を受ける可能性があることが明らかになりました。

個人や中小企業レベルでも、以下の対策を講じることで、同様のリスクから身を守ることができます：

信頼性の高いアンチウイルスソフトによる基本防御
VPN を使った安全な通信環境の構築
委託先・協力先のセキュリティレベル確認
定期的なWebサイト脆弱性診断サービスによるリスク評価

サイバー攻撃の手口が日々巧妙化する中、「自分は大丈夫」という思い込みこそが最大のリスクです。今回の事案を教訓に、自社・自身のセキュリティ体制を見直してみてはいかがでしょうか。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1