検索
連載

アフラック約438万人漏えいだけではない 6月の5事案に見る、情シスが見落としやすい“穴”

2026年6月27日以降、不正アクセスや個人情報漏えいに関する公表が相次いだ。顧客向けWebサービスやECサイト、メール添付ファイル分離システム、委託先の研修サイトなど、情シスが日常的に管理・委託する領域で起きた事案が目立つ。自社の外部公開システムや委託先管理、公開前確認の運用を点検する材料として整理したい。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 6月第5週に公表されたセキュリティインシデントでは、第三者による不正アクセスの他、委託先によるファイル掲載ミスも確認された。システム停止やログ解析、関係機関への報告、利用者への注意喚起といった対応が取られている。

1.アフラック生命保険、顧客約438万人の情報が漏えい

 アフラック生命保険は2026年6月30日、同社の契約者専用サイト「アフラック よりそうネット」などのシステムで、第三者による不正アクセスを受け、顧客の個人情報を含む一部の情報が漏えいしたことが判明したと公表した。公表資料によれば、不正アクセスは2026年6月15日に最初に発生し、6月25日までに複数回確認された。6月25日に不正アクセスを遮断し、関連システムを停止したとしている。

 漏えいした顧客関連の個人情報は、氏名や生年月日、性別、住所、電話番号、証券番号、保障内容、保険料振替口座情報などだ。対象は顧客約438万人で、このうち約23万人については保険料振替口座情報が含まれる。代理店関連では、代理店代表者氏名や代理店住所、代理店電話番号など、約4万店分の情報が対象とされる。原因の詳細は調査中で、同社は金融庁や警察などの関係機関に報告したとしている。

2.加賀ソルネット、最大約17万件の個人情報が流出した可能性

 加賀ソルネットは2026年7月1日、同社が運営する販売サイト「アカデミコナビ」において、外部からの不正アクセスが発生し、個人情報が流出した可能性があると公表した。2026年6月22日に第三者による不正アクセスを確認し、サイトの一時停止やアクセス制限、原因調査、ログ解析を実施している。

 漏えいした可能性があるのは、2021年10月から2026年4月までの間に同サイトで購入時に登録された氏名や住所、連絡先、メールアドレス、暗号化されたマイページパスワードなどで、最大約17万件とされる。同社は、クレジットカード情報などの決済情報については他社決済代行サービスを利用しており、自社サイトでは保持していないため、流出の可能性はないとしている。個人情報保護委員会には報告済みで、不審なメールやSMS、電話への注意も呼び掛けている。

3.名鉄協商、運用サーバへの不正アクセスを確認

 名鉄協商は2026年7月2日、6月23日から発生しているシステム障害について、同社が運用するサーバに第三者による不正アクセスが確認されたと公表した。名鉄協商パーキングのWebサイトでは、同日付で「6月23日より発生しているシステム障害発生に関するお知らせ」として案内している。

 公表情報では、システム障害の発生と不正アクセスを確認したと示されている。一方、個人情報漏えいの有無や原因の詳細、復旧見通しなどについては、記事執筆時点(2026年7月10日)における同社の公表情報は限定的な説明にとどまっている。利用企業や関係者は、同社の続報をチェックするとともに、名鉄協商の関連サービスを業務利用している場合は、影響を受ける機能や代替手段を確認したい。

4.石川コンピュータ・センター、添付ファイル分離メールサーバへの不正アクセスで最終報

 石川コンピュータ・センターは2026年6月29日、同社の添付ファイル分離メールサーバに対する不正アクセスについて、最終報を公表した。公表によれば、同事案は、添付ファイル分離メールサーバ上で動作する「添付ファイルダウンロード用Webシステム」の脆弱(ぜいじゃく)性を悪用した不正アクセスによるもの。同社は、メール送信機能の停止と、メールに関連するファイルへ一時的にアクセス可能な状態になっていたことが判明したと説明している。

 外部のセキュリティ専門機関と社内調査の結果、不正アクセスが確認されたのは当該サーバのみで、同一ネットワーク上の他サーバやネットワーク機器、同社が提供するその他サービスへの影響は確認されなかったとしている。また、情報が窃取された痕跡は見つかっていない。一方で、漏えいの可能性がある情報として、添付ファイル付きメール1929件、添付ファイル2551ファイル、ログに含まれる同社以外のメールアドレス1万4071件などを示している。

5.三重県、委託事業者による個人情報漏えいを公表

 三重県は2026年6月27日、県の研修業務の委託先である社会福祉法人三重県社会福祉協議会が、研修用Webページ内の受講生ページに、個人情報を含む「Microsoft Excel」ファイルを7日間掲載していたと公表した。外部からの不正アクセスではなく、ファイル掲載時の確認不足による漏えい事案だ。

 公表によれば、対象となったのは、障害福祉サービス利用児童1人の氏名および支援内容などを記載した個別支援計画と、児童発達支援管理責任者2人の氏名だ。研修資料は6月16日に公開され、6月22日に受講生からの問い合わせをきっかけに、同法人職員が個人情報を含むシートの存在に気付いた。三重県は、当事者へのおわびや受講生へのファイル削除依頼を行うよう指示し、今後はファイル掲載時の複数職員による確認を徹底するよう委託先を指導するとしている。

見落としやすい“入り口”をどう見るか

 今回の5件は、いずれも大規模な攻撃だけを想定していれば防げるものではない。顧客向けサイトやECサイト、駐車場関連サービス、メール添付ファイル分離システム、委託先の研修用ページと、入り口はそれぞれ異なる。

 情シスとしては、外部公開システムの脆弱性管理やログ監視、アカウント管理、委託先の変更・掲載作業の確認プロセスを改めて点検したい。特に、添付ファイル分離や会員サイト、研修資料掲載ページのように、日常運用に組み込まれた仕組みは「通常業務の一部」として見落とされやすい。自社で直接運用しているシステムだけでなく、委託先や外部サービスを含め、障害発生時や不正アクセス判明時の連絡経路、停止判断、利用者への注意喚起まで確認しておくことが重要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る