チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「自社じゃなくて委託先が攻撃されたら、誰の責任になるんでしゅか?」
「お客様にどう説明したらいいの?」
チップスボス、また委託先経由の情報漏洩でしゅ……日本企業で立て続けに起きてるのは怖いでしゅ。
ボス日本テレネット社がランサムにやられた。委託元のユーピーアールと九電不動産の顧客情報が芋づる式に漏洩の恐れだ。サプライチェーン攻撃の典型例だな。
2026年4月から5月にかけ、コールセンターやシステム業務を受託する日本テレネット株式会社へのランサムウェア攻撃が判明し、委託元の複数社で顧客情報漏洩の可能性が公表されました。
本記事では、被害が広がる経緯と、日本企業が委託先管理で取り組むべき具体策を整理します。
このまま読み進めれば、今回の事例の経緯と、自社の委託先管理に活かせる対策のポイントが分かります。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
1社の業務受託先で発生した攻撃が、複数の発注元で漏洩公表につながる典型的な構図です。
日本テレネット社では2026年4月14日にランサムウェアによる不正アクセスが発覚し、委託業務に関わるサーバーへ影響が及びました。
翌13日にカーシェアリング事業を運営するユーピーアール株式会社が、4月17日には九電不動産株式会社が、それぞれ委託先での不正アクセスによる顧客情報漏洩の可能性を公表しています。
主な公表内容は以下のとおりです。
| 公表日 | 企業 | 影響 |
|---|---|---|
| 4月13日 | ユーピーアール | カーシェア会員情報の漏洩可能性 |
| 4月17日 | 九電不動産 | 住宅事業顧客情報の漏洩可能性 |
| 5月7日〜8日 | 各社・関連報道 | 追加情報・経緯の公表 |
チップス1社が攻撃されただけで、複数の企業のお客様情報が同時に危険にさらされたんでしゅね……
九電不動産のケースでは、住宅事業の業務をハウスプラス住宅保証株式会社に委託し、さらにその先の日本テレネットに業務が再委託されていました。
つまり攻撃を受けた事業者は、発注元の九電不動産から見て「二次委託先」にあたります。
このような多段委託は日本企業に広く存在しますが、発注元から見えづらい層でセキュリティ水準が下がりやすく、攻撃者にとっては最良の侵入口になります。
今回の事例から学べるのは、契約上の責任範囲と実態の運用の両方を整える必要があるという点です。
個人情報保護法では、個人情報を委託する事業者は委託先を適切に監督する義務を負います。
そのため、委託先で漏洩が発生しても発注元の責任が問われ、ユーザー対応・補償・行政対応まで含めて発注元が前面に立つことになります。
委託先攻撃の影響として典型的なものは以下のとおりです。
三次・四次まで広がる多段委託でセキュリティを担保するには、契約・監査・連絡体制の3点を見直すのが効果的です。
具体的な打ち手は以下のとおりです。
チップス再委託先までは把握できてないかも……ぜんぜん見えてないでしゅ。
ボスそこが今回の事件の本質だ。見えていない委託先が攻撃されれば、発注元は守れない。可視化が第一歩だな。
日本テレネットの事例は、1社の被害が複数の発注元と多くのエンドユーザーに波及するという、サプライチェーン攻撃の構造を改めて示しました。
多段委託が珍しくない日本企業にとって、再委託先の把握と契約・監査の強化は、もはや任意ではなく必須です。
契約条項の見直し、再委託先リストの可視化、通報義務の明記から、できるところから着手しましょう。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
