チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「コールセンター委託先が攻撃されると、自社の顧客情報まで漏れるんでしゅか?」
「電話の対応履歴って漏れたら何が困るんでしゅか?」
チップスボス、大和リースのカーシェア「Dシェア」が日本テレネット経由で情報漏えいの可能性って聞いたんでしゅ。委託先経由って、どこまで責任が及ぶんでしゅか?
ボスふふふ、委託元の責任は重い。攻撃者は守りの薄い委託先を狙うものだ。再委託の構造まで含めて点検が要る。
2026年4月23日、大和リースは委託先である日本テレネットへのランサムウェア攻撃により、カーシェアリングサービス「Dシェア」会員情報が漏えいした可能性があると発表しました。
5月29日にはScanNetSecurityが続報を伝え、影響範囲の広がりが改めて確認されています。
本記事では、何が起きたのか、なぜ委託先経由の被害が拡大するのかを整理し、自社でできる備えを示します。
記事を読むことで、業務委託のサプライチェーンに潜むリスクと、自社で取るべき具体的な対策が明確になります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずは公式発表ベースで判明している事実を整理しましょう。
大和リースの説明によると、漏えいのおそれがある情報は、Dシェアのコールセンターに電話をかけた会員の対応情報です。
クレジットカード情報や運転免許証情報は、日本テレネット側のサーバには保存されていない、あるいは保存できない仕組みのため流出のおそれはないとされます。
対象情報を整理すると以下の通りです。
| 情報 | 状況 |
|---|---|
| 氏名 | 漏えいのおそれ |
| 電話番号 | 漏えいのおそれ |
| 対応履歴 | 漏えいのおそれ |
| クレジットカード情報 | 対象外(保存されていない) |
| 運転免許証情報 | 対象外(保存されない仕組み) |
チップスカード情報や免許証が漏れてないのは安心でしゅけど、対応履歴って漏れたらどう悪用されるんでしゅか?
ボス過去の問い合わせ内容を握れば、本人なりすましのフィッシングが格段に成立しやすくなる。電話一本で信用を奪える材料になるんだ。
侵害を受けたのは、日本テレネットが運用していた「添付ファイル分離メールサーバ」とされます。
この種の中継サーバは複数の取引先メールが集約されるため、攻撃者にとっては効率の良い情報源です。
同じサーバを介していた他社のサービスにも、同様の漏えい可能性があると報じられています。
続いて、委託元の立場で押さえるべき備えを整理します。
業務委託は、自社が直接契約する一次委託先だけでなく、その先の再委託先も含めた構造で捉える必要があります。
Dシェアの事案でも、コールセンターを担う日本テレネットが侵害対象となりました。
委託元として整備すべき観点は以下の通りです。
クレカや免許証ほど派手ではないものの、対応履歴やメール本文は、なりすまし詐欺の燃料になる重要情報です。
「個人情報」の範囲をクレカ・免許証など狭く捉えていると、今回のような事案で対応が後手に回ります。
守るべき情報を再評価するときの考え方を表にまとめます。
| 視点 | 確認内容 |
|---|---|
| 悪用可能性 | 本人特定や信頼補強に使えるか |
| 件数規模 | 影響を受ける顧客数の上限 |
| 保管場所 | 自社・委託先・再委託先それぞれの所在 |
チップスうちもコールセンターを外注してるから、再委託まで把握できてないかもしれないでしゅ…。
ボス気づいた今が見直しの絶好機だな。契約・運用・監査の三位一体で再構築するんだ。
日本テレネットへのランサム攻撃と「Dシェア」の事案は、委託先経由の漏えいリスクを改めて突き付けました。
クレカや免許証だけでなく、対応履歴のような「軽く見られがちな情報」もリスク評価の対象に含める必要があります。
再委託まで含めたデータフローの可視化と、契約上のインシデント通知義務を、いま一度整えていきましょう。
サプライチェーンを含めたセキュリティ整備は、第三者視点で動けるフリーランス人材との協業が効果を発揮します。
詳細は ScanNetSecurityの報道 を参照してください。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
