チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「中堅IT企業がランサムウェアにやられたら、何が起きるのでしょうか?」
「自社のIT委託先が侵害されたら、自分の顧客情報も漏れる?」
チップスボス!エフワンっていう会社がランサムウェアにやられて、17万件の個人情報が漏れたって…
うちもIT委託先のひとつなんでしゅが、これって他人事じゃないでしゅよね?
ボスその不安は正しい。
1月30日に攻撃を受け、4月8日に最終報を出したのがエフワンだ。
勤務先・氏名・連絡先など17万件分が外に流れた可能性が公式に確認されている。
本記事ではエフワン事案を整理しつつ、IT委託先が侵害されたときに発注側企業が取るべき対応も解説します。
「自社は被害者じゃない」と思いがちなケースほど、責任が問われる時代に入っています。
委託先経由のサプライチェーン被害が、いま日本企業の最大リスクのひとつになっています。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
エフワン株式会社は2026年1月30日午前0時頃、社内システムがランサムウェアに感染。
同日朝8時半に社員からの報告で発覚し、外部調査会社と連携して原因調査と影響範囲特定を進めてきました。
5月8日にScanNetSecurityが報じた段階で、最終報は4月8日に既に出ています。
漏れたのは、氏名・生年月日・性別・住所・電話番号(携帯含む)・勤務先名・部署・役職・勤務先住所・勤務先電話番号・メールアドレスといった項目です。
BtoB営業のターゲット情報として、ほぼ完全な「名刺データベース」が流出した形になります。
受け取った側は、なりすましメールや特殊詐欺の標的選定に転用できる粒度です。
| 項目 | 内容 |
|---|---|
| 攻撃発覚日 | 2026年1月30日 |
| 漏洩件数 | 約17万件 |
| 主な情報種別 | 氏名・住所・電話・勤務先・役職・メール |
| 犯行グループ | BlackShrantac |
| 最終報 | 2026年4月8日 |
チップス勤務先と役職まで漏れてるって、フィッシングの素材として一級品でしゅね…
ボスそうだ。「総務部の○○さん宛て」というメールが来たら、つい開いてしまうだろう?
BEC(ビジネスメール詐欺)の精度を爆上げする情報だな。
IT委託先・取引先が侵害された場合、発注側企業にも応分の対応責任が生じます。
個人情報保護法と改正サプライチェーン責任の流れでは、「外部に丸投げした」では済まされません。
まずは委託先に「どの自社データが漏洩対象か」を文書で確認することが第一歩です。
その上で、自社顧客への通知要否を個人情報保護委員会の基準に照らして判断します。
事件後の対応だけでなく、平時の委託先管理を強化することが本質的な再発防止策です。
契約段階でセキュリティ要件を明文化し、年次でSAQ(自己評価質問票)を取得する運用が標準になりつつあります。
実装したい仕組みは以下の通りです。
チップスうちの委託先契約、セキュリティ条項がほぼないでしゅ…大丈夫でしゅかね。
ボス契約改定は次の更新タイミングで必ずやれ。
「インシデント時の通報義務」と「再委託の事前承認」、この2つだけでも入れておくと違うぞ。
詳細はScanNetSecurityの報道を参照してください。
17万件の漏洩というインパクトの背後には、委託先経由で広がるサプライチェーンリスクの構造があります。
自社が守るべきは自社サーバだけではなく、データを渡している全ての先までです。
チップス「データを渡したら、もうあちらの責任」って思ってたでしゅ…考え方変えないとマズいでしゅね。
ボス個人情報保護法の改正でも、委託元の監督義務は強化されている。
「委託したから安心」の時代は、もう終わりだ。
委託先管理の設計や契約書見直しは、専門知識が必要な領域です。
社内で対応が難しい場合は、セキュリティフリーランスを活用してスポットで強化するのも現実的な選択肢です。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
