エフワンがランサムウェア被害、17万件の個人情報流出─委託先経由のサプライチェーン責任を問う

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「中堅IT企業がランサムウェアにやられたら、何が起きるのでしょうか?」
「自社のIT委託先が侵害されたら、自分の顧客情報も漏れる?」

チップス

ボス!エフワンっていう会社がランサムウェアにやられて、17万件の個人情報が漏れたって…
うちもIT委託先のひとつなんでしゅが、これって他人事じゃないでしゅよね?

ボス

その不安は正しい。
1月30日に攻撃を受け、4月8日に最終報を出したのがエフワンだ。
勤務先・氏名・連絡先など17万件分が外に流れた可能性が公式に確認されている。

本記事ではエフワン事案を整理しつつ、IT委託先が侵害されたときに発注側企業が取るべき対応も解説します。
「自社は被害者じゃない」と思いがちなケースほど、責任が問われる時代に入っています。

  • エフワンが2026年1月30日にランサムウェア攻撃を受け、約17万件の個人情報流出を発表
  • 漏洩内容は氏名・住所・電話番号・勤務先・役職・メールアドレス等
  • 犯行声明はランサムウェアグループ「BlackShrantac」が公表

委託先経由のサプライチェーン被害が、いま日本企業の最大リスクのひとつになっています。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

エフワン事案の概要:1月の攻撃から4月最終報までの流れ

エフワン株式会社は2026年1月30日午前0時頃、社内システムがランサムウェアに感染。
同日朝8時半に社員からの報告で発覚し、外部調査会社と連携して原因調査と影響範囲特定を進めてきました。
5月8日にScanNetSecurityが報じた段階で、最終報は4月8日に既に出ています。

漏洩した情報の種類

漏れたのは、氏名・生年月日・性別・住所・電話番号(携帯含む)・勤務先名・部署・役職・勤務先住所・勤務先電話番号・メールアドレスといった項目です。
BtoB営業のターゲット情報として、ほぼ完全な「名刺データベース」が流出した形になります。
受け取った側は、なりすましメールや特殊詐欺の標的選定に転用できる粒度です。

項目内容
攻撃発覚日2026年1月30日
漏洩件数約17万件
主な情報種別氏名・住所・電話・勤務先・役職・メール
犯行グループBlackShrantac
最終報2026年4月8日
チップス

勤務先と役職まで漏れてるって、フィッシングの素材として一級品でしゅね…

ボス

そうだ。「総務部の○○さん宛て」というメールが来たら、つい開いてしまうだろう?
BEC(ビジネスメール詐欺)の精度を爆上げする情報だな。

委託先が侵害された企業が取るべき対応

IT委託先・取引先が侵害された場合、発注側企業にも応分の対応責任が生じます。
個人情報保護法と改正サプライチェーン責任の流れでは、「外部に丸投げした」では済まされません。

事案発覚時のチェックリスト

まずは委託先に「どの自社データが漏洩対象か」を文書で確認することが第一歩です。
その上で、自社顧客への通知要否を個人情報保護委員会の基準に照らして判断します。

  • 委託先からの一次報告を口頭で済ませず必ず書面化する
  • 自社の漏洩有無を独自に検証(リークサイト確認、ダークウェブ調査)
  • 顧客通知の遅延は法的リスクに直結、5日以内が目安

中長期で見直すべき委託先管理

事件後の対応だけでなく、平時の委託先管理を強化することが本質的な再発防止策です。
契約段階でセキュリティ要件を明文化し、年次でSAQ(自己評価質問票)を取得する運用が標準になりつつあります。

実装したい仕組みは以下の通りです。

  • 委託先選定時の最低セキュリティ要件(ISO 27001/SOC2等)を明文化
  • 年次SAQと現地監査の二段構えで委託先の実態を確認
  • インシデント発覚時の通報義務と賠償条項を契約に組み込む
チップス

うちの委託先契約、セキュリティ条項がほぼないでしゅ…大丈夫でしゅかね。

ボス

契約改定は次の更新タイミングで必ずやれ。
「インシデント時の通報義務」と「再委託の事前承認」、この2つだけでも入れておくと違うぞ。

詳細はScanNetSecurityの報道を参照してください。

まとめ:委託先被害を「自社のリスク」として捉え直す

17万件の漏洩というインパクトの背後には、委託先経由で広がるサプライチェーンリスクの構造があります。
自社が守るべきは自社サーバだけではなく、データを渡している全ての先までです。

チップス

「データを渡したら、もうあちらの責任」って思ってたでしゅ…考え方変えないとマズいでしゅね。

ボス

個人情報保護法の改正でも、委託元の監督義務は強化されている。
「委託したから安心」の時代は、もう終わりだ。

委託先管理の設計や契約書見直しは、専門知識が必要な領域です。
社内で対応が難しい場合は、セキュリティフリーランスを活用してスポットで強化するのも現実的な選択肢です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次