チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「東京都のポータルサイトで2,440人分の情報がCSVごと持ち出されたって本当でしゅか?」
「アクセス制限の設定漏れって、技術的にはどんなミスでしゅか?」
チップス公的機関のサイトでもこんなことが起きるなんて、うちの社内ポータルもちゃんと見直さないと不安でしゅ……
ボスふふふ、原因は派手な攻撃ではなく、設定漏れだ。設計レビューで防げる類の話、しっかり押さえよう。
本記事では、東京デジタルアカデミー(TDA)ポータルで発生したCSV持ち出し事案の構造と、自社ポータル運用に活かせる教訓を解説します。
最後まで読めば、自社の社内ポータルでも今すぐ確認すべき設計チェックポイントが分かります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
東京都デジタルサービス局の公表内容に沿って、何が起きたのかを整理します。
東京デジタルアカデミー(TDA)ポータルは、サイト構造の確認作業中に2026年5月20日、個人情報格納領域へのアクセス制限が設定されていない状態が発覚しました。
その領域にあったCSVファイルには、行政職員2,438人と市民2人の氏名・業務用メールアドレス・ハッシュ化パスワードが含まれていました。
パスワードはハッシュ化されていたものの、リスト型攻撃や辞書攻撃の入力素材として悪用される可能性は残ります。
過去に不正アクセスでCSVがダウンロードされていた事実も確認されています。
事案の主な数字は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 発覚日 | 2026年5月20日 |
| 公表日 | 2026年5月25日 |
| 対象者 | 行政職員2,438人、市民2人 |
| 含まれた情報 | 氏名/業務メール/ハッシュ化PW |
続報は東京都デジタルサービス局の公表とScanNetSecurityの解説で確認できます。
発見直後にアクセス制限が施され、その後のセキュリティ強化と職員全員への再発防止教育の実施が予定されています。
個別ユーザー向けの推奨事項は公表されていませんが、TDA関連の業務メールに来た不審な認証要求は、いったん別経路で本人確認するのが安全です。
市民2人については、別途個別連絡が行われている可能性が高いでしょう。
チップス業務メールアドレスが漏れたって時点で、標的型フィッシングのリストにも入っちゃうんでしゅよね……
ボスそう。標的型の素材として価値が高い。だから職員側もしばらくはメールリンクを慎重に扱う必要がある。
同種の設定漏れは、社内ポータルでも繰り返し起きます。
個人情報を含むCSVを扱う領域は、認証付きアクセスを前提に、ファイル単位で短期URLや権限つきトークンを発行する設計にしましょう。
静的ファイルとして長期間アクセス可能にしておくのは、漏洩の確率を時間とともに上げる行為です。
「いつ・誰が・どのCSVを取得したか」をログで追える設計が、事後の被害把握にも効きます。
設定漏れを防ぐ運用チェック項目をまとめます。
職員教育も意味はありますが、人だけに頼る防御は再発を防ぎきれません。
S3公開設定スキャンやIAMポリシー検査の自動化ツールを取り入れて、設定漏れを機械が先に見つける仕組みにしてください。
レビュー観点をチェックリスト化し、リリース直前に必ず通すフローを定着させることが効果的です。
チップスCSPMで自動検知してくれるなら、人が忘れても先に止まるんでしゅね!
ボスそうだ。人は忘れる、機械は忘れない。仕組みを味方につけるのが、現実的な選択肢だ。
TDAポータルの事案は、派手な攻撃ではなく「設定漏れ」が原因でした。
2,438人分の業務メールが漏れた事実は、標的型フィッシングの素材として今後数年使われる可能性があります。
個人情報CSVは認証付き・短期URL・取得ログ取得の3点セットで扱い、CSPMで設定漏れを機械的に検知する仕組みを整えてください。
派手な事故ほど、原因は地味な設定ミスである、というのは現場の常識です。
ボス設定漏れは技術ではなく仕組みで防げ。レビュー文化を作るのが、何よりの再発防止だ。
チップスうちのS3バケットの公開設定、今すぐチェックしてくるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
