卒アル17万3000件の顔写真やデータ流出か…サイバー攻撃を受けた老舗印刷所「何かがおかしいと気づき…2次被害の報告はありません」と回答も「安心できない」理由とは

宮城県仙台市の老舗印刷会社がサイバー攻撃を受け、北は北海道から南は関西の小中高、そして幼稚園にいたる卒業・卒園アルバムに掲載された17万3000件もの顔写真や氏名が情報漏洩した事案が起きた。4月12日にはサイバー攻撃を受けた印刷会社が事案を自社HPで公表したが、一体どんなサイバー攻撃を受けたのか。

氏名や顔写真など17万3000件のデータが流出

サイバー攻撃を受けたのは宮城県仙台市の印刷会社「斎藤コロタイプ印刷」で、主に全国各地の幼稚園から小中高の卒業・卒園アルバムを制作する企業だ。

情報漏洩した可能性があるのは2023年度（2024年3月卒業）の卒業または卒園アルバムの掲載データの一部である17万3000件の顔写真や氏名などのテキストデータ。

都内においても豊島区や板橋区、練馬区、足立区に葛飾区、江戸川区などの約50校もの小中学校が被害に遭った可能性があるという。

被害に遭ったとされる都内の小学校でPTA役員を務め、卒業対策委員も担当したという母親は今回の情報漏洩を重く受け止めている。

「実は卒業対策委員会でどこの印刷会社に卒業アルバム制作を頼もうかという話し合いをしたとき、今回サイバー攻撃を受けた『斎藤コロタイプ印刷』に決めたのは私たちでした。

いろんな印刷会社を検討する中で、こちらの印刷会社は大正後期に創業され約100年続いてきた伝統ある会社さんだったことから『品質はもちろん対応も間違いないはずだ』と思い込んでしまいました。まさかこんなことになるなんて……。

急きょ学校から『印刷会社がサイバー攻撃に遭って情報漏洩した可能性がある』とだけ言われ、どんな攻撃を受けて何が流出したかなど詳しい話は一切なく、私たちも聞いた以上の説明を親御さんにすることはできないので、本当にお詫びしてもしきれない状態でした」

一体どんなサイバー攻撃を受けたというのか。「斎藤コロタイプ印刷」に取材を行なった。

――身代金要求型のコンピューターウイルス「ランサムウェア」によるサイバー攻撃を受けたとＨＰに書かれていますが、いつどのような状態で発覚したんですか。

昨年7月18日朝の時点で弊社工場にあるパソコンのデスクトップのファイルが暗号化されて開けない状態にあり、「何かがおかしい」と気づき、関連システムをすべて停止しました。これ以上の何かしらの異常を起こさないためにすべてを遮断したのです。

――その前日など、何か予兆のようなことがあったわけでも、社員による何か操作ミスがあったわけでもなくですか。

はい、そういうことは一切ありません。そして22日には個人情報保護委員会と日本印刷産業連合会へ報告し、23日にデジタル鑑識調査を行なう専門業者へ調査を委託しました。

――この時点ではまだサイバー攻撃を受けたとはわからず、情報漏洩もわからなかったのですね。

はい、状況がつかめていませんでした。しかし状況保全のため、アルバム制作に係るシステムは外部接続を遮断した状態で新サーバーをセットアップし、新年度アルバム用データの暫定保管を開始しました。

「ランサムウェア」の不正侵入によるネットワーク障害が起きたことが特定されたのは11月のことでした。

――そこで情報漏洩したことは明らかになったものの、関係各所への連絡は行なわなかったのですか。

まずはシステム復旧と実施すべき安全対策強化策の検討を先んじました。そして今年1月に検討した安全対策の実施、及びシステムの復旧を完了し、4月に宮城県警サイバー犯罪対策課へ被害届を出しました。

その後、教育委員会や関係各所へのご連絡をし、4月12日に弊社より発表を行なったのです。

 ――全国各地の学校や幼稚園が被害を受けたということで、こちらにお問い合わせなどはないのでしょうか。

もちろん個人様によるお問い合わせはございます。

現在の感染経路のほとんどがネットワークの“脆弱性”を狙った侵入 

もちろんサイバー攻撃を受けた業者もそうだが、その業者を信じて委託した学校側、子どもたちが一番の被害者だろう。

いったいこの身代金要求型のコンピューターウイルス「ランサムウェア」とは何なのか？　セキュリティ専門のITジャーナリスト・宮田健氏に聞いた。

「ウイルス感染したパソコンには『暗号化したりデータを抜き取ったりしたので、解除してほしければ仮想通貨を送金せよ』といった金銭を要求する画面が出るタイプのものです。英語やロシア語などで書かれているケースが多いようです」（宮田健氏、以下同）

今回のようなウイルス感染は防ぎようがないものなのかと聞くと「なかなか難しい問題です」と言う。

「昨年、日本国内でランサムウェアによるウイルス感染は、警察庁における被害報告件数では222件。そのうちの140件が今回の印刷会社のような中小企業なんですね。

その感染経路も、以前はメールに添付されたファイルを開いたり、アダルトサイトなどを含む怪しいサイトでウイルスを含むファイルをインストールしてしまったりなどが多かったのですが、現在の感染経路のほとんどは企業のネットワークの“脆弱性”を狙った侵入なんです」

つまり、以前にはよく耳にした「社員が社用パソコンで怪しいサイトを閲覧して感染した」などではなく、いまや、その被害のほとんどは攻撃者がネットワークの弱点を巧妙に突いてくるようだ。

「2021年には徳島県の半田病院が同じようなサイバー攻撃を受けて、深夜に院内の複数のプリンターから誰が操作したわけでもないのに、英字の印刷物が用紙がなくなるまでとめどなく出力されたり、電子カルテのデータが盗まれ暗号化されるなどの被害に遭いました。

その他にもゲーム会社のカプコンも被害に遭っています。トヨタでさえも下請け会社が受けた攻撃により工場ラインをすべてストップせざるを得ない状況に陥りました。いまや日本企業を狙ったランサムウェアは脅威のひとつなのです」

そんなランサムウェアの被害に遭わないためにはどうしたらいいのか。

「まずは日本のすべての企業がこの手のサイバー攻撃は他人事ではないという意識を持つこと、さらにセキュリティの見直しを行なうことが大事です。 

特に中小企業はビジネスが中心でセキュリティは二の次になりがちですが、これらのサイバー攻撃一発で廃業に追い込まれるほどの損害を負いかねないケースもありますから」 

また、宮田氏はこうも言う。

「よくこの手の攻撃を受けた企業さんが『2次被害の報告は受けていない』とか『これ以上の情報漏洩はない』といった報告をしますが、残念ながら安心できない言葉です。私らセキュリティ専門から言わせたら、それは調べる能力が低いだけで調べきれていない可能性もあり得ますから」

セキュリティ対策は有料なものばかりでなく、無料で得られる知識もあるという。

「セキュリティそのものにお金がかけられなくても内閣サイバーセキュリティセンター（NISC）が無料公開している「インターネットの安全・安心ハンドブック」もありますから、すべての企業さんにはこちらを一読してほしいと思います」

現状は中小企業がサイバー攻撃の対象となっていることが多いというが、いつその矛先が個人に向くのか、他人事では済まされない時代がすぐそこまでやってきている。

取材・文／集英社オンライン編集部ニュース班