出典: Cybersecurity JP – https://cybersecurity-jp.com/news/111474
国立国会図書館の再委託先で不正アクセス発生、一部利用者情報漏えいの懸念
国立国会図書館は、システム開発を再委託していた企業のネットワークが外部からの不正アクセスを受け、開発環境に侵入されたことを発表しました。これにより、一部利用者情報の漏えいが懸念されていますが、同館の基盤システムや提供サービスへの影響は確認されていません。
主要なポイント
- 再委託先のネットワークが不正アクセスを受ける:国立国会図書館のシステム構築を委託されたIIJ社が、さらに株式会社ソリューション・ワンに再委託していたネットワークが2025年11月5日に攻撃者に侵入されました。
- 開発環境への不正アクセスが確認:攻撃者はソリューション・ワン社のネットワークを経由し、国立国会図書館の開発環境にも不正にアクセスしました。
- サービスや基盤システムへの影響はなし:現時点では、国立国会図書館の提供サービスや基盤システムに対する侵害は確認されていません。
- 一部利用者情報および利用履歴の漏えい懸念:開発環境内に保存されていた一部の利用者情報と利用履歴について、漏えいの可能性があるとされています。
- 調査と対応を継続中:国立国会図書館とIIJ社は引き続き調査を行い、新たな情報が判明次第公表する方針です。
技術的な詳細や背景情報
今回の不正アクセスは、国立国会図書館のシステムリプレース開発における再委託先のネットワークが標的となりました。再委託とは、元の委託先がさらに別の企業に業務を委託することを指し、今回の場合はIIJ社がソリューション・ワン社に再委託していました。
攻撃者はソリューション・ワン社のネットワークに侵入し、そこから国立国会図書館の開発環境にアクセスしました。開発環境とは、本番環境とは別にシステムの設計やテストを行うための環境であり、通常は本番環境よりもセキュリティが緩い場合があります。今回のケースでは、この開発環境に保存されていた利用者情報や利用履歴が漏えいの懸念対象となっています。
影響や重要性
国立国会図書館は国の重要な情報機関であり、多くの利用者情報を扱っています。今回の不正アクセスは直接の本番システムへの影響はないものの、開発環境のセキュリティ管理の甘さが浮き彫りとなりました。
また、再委託先の管理体制やネットワークセキュリティの強化が求められます。特に、開発環境における情報の取り扱いとアクセス制御は厳格に行う必要があります。利用者の個人情報保護の観点からも、漏えいの懸念がある情報の早急な特定と対策が重要です。
まとめ
国立国会図書館の再委託先であるソリューション・ワン社のネットワークが不正アクセスを受け、開発環境に侵入される事態が発生しました。現時点で本番環境やサービスへの影響は確認されていませんが、一部利用者情報の漏えい懸念があるため、引き続き調査と対策が進められています。
今回の事例は、再委託先を含むサプライチェーン全体のセキュリティ管理の重要性を示しており、開発環境の情報管理体制の見直しが求められます。利用者情報の安全確保のため、関係機関の迅速な対応と透明性のある情報公開が期待されます。
