チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「政府機関でなぜFileZenの被害が繰り返されているのか?」
「ファイル転送サービスを使うときに気をつけることは?」
チップスボス、沖縄総合事務局でまた個人情報が漏れたみたいでしゅ。FileZenの事件は前にもあった気がするでしゅ。
ボスそう、2021年の内閣府の事案を思い出すな。同種のサービスが繰り返し標的になっている事実を、組織は直視する必要があるだろう。
政府機関がファイル共有サーバー経由で大規模な個人情報漏洩を出した、注目度の高いインシデントです。
本記事では、沖縄総合事務局が公表したFileZen不正アクセス事件の概要から、組織として取るべき再発防止策までを順を追って解説します。
政府機関だけでなく民間企業でも広く使われているサービスだけに、自社の利用状況を点検するきっかけにしていただける内容です。
最後まで読めば、なにを優先すべきか見えてくるはずです。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
まずは公表された事実関係を、漏洩対象の内訳とあわせて整理します。
沖縄総合事務局は2026年4月28〜29日に、同局が利用していた大容量ファイル転送サービス「FileZen」のサーバーに不正アクセスを受けた事実を公表しました。
不正アクセス自体は2026年1月に検知され、ただちに当該サーバーの利用を停止したと説明されています。
同規模の個人情報漏洩は同事務局として初めてで、警察と連携して原因究明にあたっています。
漏洩の恐れがあるのは、羽地大川土地改良区の土地原簿で4930人分、セミナー参加者名簿で8549人分など多岐にわたります。
外部講師の経歴書3人分には、学歴や生年月日が含まれていた点も見逃せません。
港湾関係の定時総会資料695人分も含まれ、行政手続きの幅広い情報がひとつのサーバーに集約されていた実態が見えてきます。
| カテゴリ | 件数 |
|---|---|
| セミナー参加者名簿 | 8549人 |
| 羽地大川土地改良区の土地原簿 | 4930人 |
| 港湾関係の定時総会資料 | 695人 |
| 外部講師の経歴書 | 3人 |
チップスセミナーの参加者名簿が一番多いんでしゅね……写真も流出した可能性があるって、こわすぎるでしゅ。
FileZen系の事案がなぜ繰り返されるのか、その背景と教訓を見ていきます。
FileZenは2021年に内閣府でも不正アクセスを受けた経緯があり、政府機関や自治体で長く採用されてきたサービスです。
標的にされやすい背景には、外部公開のWebインターフェースから多くの組織が機微情報を授受している、という構造があります。
同種のSaaSやアプライアンスでも、利用継続中なら脆弱性情報を継続的に追跡することが欠かせません。
第一に、ファイル転送サーバーには保存期間を明確に定め、用済みのデータは速やかに削除する運用が必要です。
第二に、IPS/WAFや多要素認証で外部公開面を多層化し、脆弱性公開時には即時パッチが適用できる体制を整えます。
そして第三に、漏洩を前提にしたインシデントレスポンス手順をリハーサルしておくことが、被害発覚から公表までの時間を短縮する鍵です。
ボス政府の事案だからといって他人事にせず、自社のファイル授受がどこにどれだけ蓄積しているのかを棚卸しすることが先決だな。
沖縄総合事務局のFileZen事案は、政府機関での再発という観点からも国内の運用慣行を見直すきっかけになります。
機微情報を扱うサービスは、便利さと裏腹にひとたび侵入されれば被害規模が大きくなります。
自社で同種のサービスを使っている場合は、まず保存データの棚卸しと、脆弱性情報の継続監視から始めましょう。
引用元:琉球朝日放送 – 沖縄総合事務局 個人情報漏洩
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
