出典: Security NEXT – https://www.security-next.com/177594
国会図書館のシステム開発環境から個人情報流出の可能性について
2025年11月、国立国会図書館のシステム開発環境がサイバー攻撃を受け、プリントアウトサービスの利用者情報が外部に流出した可能性が明らかになりました。本記事では、今回のインシデントの概要と技術的背景、影響について詳しく解説します。
主要なポイント
- システム開発環境の侵害:国立国会図書館のシステム構築を委託していたインターネットイニシアティブ(IIJ)の再委託先、ソリューション・ワンの業務設備が不正アクセスを受けました。
- 作業用ネットワーク経由のアクセス:侵害者はソリューション・ワンの業務設備を経由し、国会図書館の開発環境にアクセスしたとされています。
- 流出した可能性のある情報:2025年9月24日から10月22日にかけて、東京本館、関西館、国際子ども図書館でプリントアウト申込を行った約4万件の利用者情報が対象で、氏名、利用者ID、利用目的などが含まれます。
- 対応状況:国会図書館は2025年11月11日に事態を公表し、外部の専門家と連携して調査を進めています。
技術的な詳細や背景情報
今回のインシデントは、システム開発の委託先の再委託先における業務設備の侵害が発端となっています。一般的に、システム開発環境は本番環境とは分離されていることが多いですが、開発環境にアクセスできるネットワークが複数の組織間で共有されている場合、再委託先のセキュリティが弱いと全体のリスクが増大します。
また、プリントアウトサービスの利用者情報は、氏名や利用者ID、利用目的など個人を特定しうる情報を含むため、流出するとプライバシー侵害やなりすましのリスクが高まります。今回のような委託先経由の侵害は、サプライチェーン攻撃の一種であり、近年増加傾向にある攻撃手法の一つです。
影響や重要性
国立国会図書館は日本の国立機関であり、多くの国民や研究者が利用しています。そのため、利用者の個人情報が流出した場合、信頼性の低下や利用者の不安を招く深刻な問題となります。
また、今回の事件は、システム開発や運用を外部に委託する際のセキュリティ管理の重要性を改めて示しています。特に再委託先の管理状況やネットワークの分離、アクセス制御の強化が求められます。
まとめ
国立国会図書館のシステム開発環境からの個人情報流出の可能性は、委託先の再委託先の業務設備が侵害されたことに起因しています。今回の事例は、サプライチェーン全体のセキュリティ対策の重要性を浮き彫りにしました。今後は、委託先のセキュリティ評価や監査の強化、ネットワーク分離の徹底など、多層的な防御策が必要です。利用者は自身の情報管理に注意を払い、国会図書館側も迅速かつ透明な対応を継続することが求められます。
