チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「うちが委託している先がランサム攻撃に遭ったら、契約者情報はどうなるんでしゅか?」
「保険業界の委託先攻撃って、いま何が問題になっているんでしゅか?」
チップスボス、新日本検定協会へのランサム攻撃で、東京海上日動の契約者情報まで漏れそうって聞いたんでしゅが、これってどういう仕組みなんでしゅか?
ボスそうだな。今回のケースは「委託先経由」での情報漏洩で、損保大手4社が同じ協会に業務を委託していたため、被害が連鎖的に広がる構図になっている。
2026年5月、新日本検定協会へのランサムウェア攻撃で東京海上日動など複数の損害保険会社の契約者情報に漏洩リスクが及ぶ事案が公表されました。
本記事では、事件の経緯と委託先攻撃のリスク・対策をわかりやすく整理していきます。
業務委託先への攻撃は近年急増しており、契約者・顧客への波及がもっとも警戒される領域です。
事件の経緯、被害規模、そして利用企業が押さえるべき対策の順に整理していきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
東京海上日動は業務委託先である新日本検定協会のランサムウェア被害を2026年5月11日に公表しました。
同協会は2025年11月にサーバへのアクセス不能を検知し、外部専門機関による調査の結果、複数サーバでデータが暗号化されていたことが判明しました。
判明した主な事実は以下の通りです。
詳細はITmedia NEWSの報道と東京海上日動のお詫び文で確認できます。
チップス11月の検知から公表まで半年もかかってるんでしゅか?遅すぎる気がしましゅが…
ボス調査機関による被害範囲の特定には数か月かかるのが通例だな。だが委託元への一次連絡はもっと早期に行われるべきで、今後の業界ガイドラインで論点になるはずだ。
今回の手口は暗号化と情報窃取を組み合わせる二重恐喝型で、損保業界の委託構造に深く絡む典型事例です。
近年のランサム攻撃は暗号化単独ではなく、外部送信ツールでデータを抜き取ってから暗号化する手法が主流です。
漏洩のおそれがある情報の内訳は以下の通りです。
| 対象 | 件数 | 主な情報項目 |
|---|---|---|
| 東京海上日動の損害査定業務 | 約1,500件 | 契約者氏名、被保険者氏名・住所・電話番号、証券番号、事故受付番号、メールアドレス |
| 新日本検定協会の関係者全体 | 約3万件 | 業務関係者の氏名、住所、電話番号、メールアドレス |
| 従業員・退職者・採用候補者 | 約350件 | 氏名、住所、電話番号、メールアドレス |
新日本検定協会は損保大手4社から損害査定業務を受託しており、1社の被害が複数の損保契約者に波及する構図でした。
委託先攻撃で特に警戒すべき観点は以下の通りです。
チップス1社の事件で4社の契約者が巻き込まれるんでしゅか…これは怖いでしゅね。
ボス共通委託先はコストメリットがある反面、単一障害点になりやすい。委託先のセキュリティ評価は契約締結時だけでなく、定期的な再評価が欠かせないのだ。
今回の事件は、共通委託先がランサム被害に遭うと損保業界全体に被害が波及することを示しました。
委託元は契約時のセキュリティ要件設定だけでなく、定期監査・即時通報体制の整備が必須です。
委託先側もEDR導入や多要素認証の徹底など、基礎的な防御を強化していく必要があります。
チップス委託先のセキュリティも自社の問題として考えないとダメでしゅね。今日から見直しましゅ!
ボスふふふ、それでこそだ。サプライチェーン全体で守るという視点を持って、契約と運用の両面で備えていこう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
