こんにちは、地域信用金庫でリスク管理を担当している毎日信金です。信用金庫での実務経験10年を通じて、金融機関のサイバーセキュリティ対策に携わってきました。
「大手保険会社でも防げないサイバー攻撃…地域金融機関は大丈夫なのか?」
2025年6月11日、損害保険ジャパンが発表した約1,750万件という膨大な個人情報漏洩の可能性は、金融業界に衝撃を与えました。この規模は過去最大級の情報漏洩事件の一つであり、地域金融機関にとっても決して他人事ではありません。
本記事では、信用金庫のリスク管理担当者として、今回の損保ジャパンサイバー攻撃事件を詳細に分析し、地域金融機関が取るべき具体的なセキュリティ対策を提案いたします。
損保ジャパンで発生した2つのサイバー攻撃事件
委託先ランサムウェア攻撃(2024年5月発生)
最初の事件は、損保ジャパンの業務委託先である株式会社ギオンで発生したランサムウェア攻撃です23。2024年5月7日に判明したこの攻撃では、ギオン社の検索情報サーバーが第三者により不正アクセスを受け、約75,000件の顧客氏名情報が漏洩した可能性があります。
ギオン社は損保ジャパンから首都圏の保険金サービス部門における事故関連書類の保管・配送業務を委託されており、その業務に必要な顧客氏名や事故日等の情報を共有していました。調査の結果、データファイルの外部送信は確認されておらず、外部漏洩の可能性は低いとされています。
社内システム直接攻撃(2025年4月発生)
より深刻な事件は、2025年4月17日から21日にかけて発生した損保ジャパン社内システムへの直接的な不正アクセスです45。各種指標管理を主としたWebサブシステムが第三者により不正にアクセスされ、専門業者によるフォレンジック調査の結果、外部に漏洩した可能性が否定できないことが判明しました。
この攻撃により、約1750万件という膨大な顧客・代理店関連データが外部から閲覧されたおそれまたは漏洩の可能性があることが確認されています。
1750万件の被害規模分析
データ内訳の詳細
今回の情報漏洩で影響を受けた可能性のあるデータは、以下の通り分類されます:
顧客関連データ(約726万件)
- 氏名・連絡先・証券番号が記載されたデータ:約337万件
- 氏名・証券番号が記載されたデータ(連絡先なし):約187万件
- 連絡先・証券番号が記載されたデータ(氏名なし):約119万件
- その他(氏名のみ、住所のみなど):約83万件
代理店関連データ:約178万件
個人特定困難データ:約844万件(証券番号や事故番号のみ)
リスクレベルの評価
信用金庫のリスク管理担当者として分析すると、最も危険なのは氏名・連絡先・証券番号が揃った337万件のデータです。これらの情報が悪用されれば、なりすまし詐欺や標的型攻撃の起点となる可能性が高く、金融機関にとって極めて深刻なリスクとなります。
信用金庫職員が見る3つの重大な問題点
システム管理体制の不備
今回の事件で最も深刻な問題は、社内の指標管理Webシステムに脆弱性が存在し、それが長期間放置されていたことです。金融庁のサイバーセキュリティガイドラインでは、脆弱性管理・診断が基本的な対応事項として明記されていますが、これが十分に実行されていませんでした。
信用金庫では共同システムを利用することが多いため、個別システムの管理が疎かになりがちです。しかし、独立したWebシステムであっても、定期的な脆弱性診断と迅速なパッチ適用が必要不可欠です。
委託先管理の甘さ
ギオン社でのランサムウェア攻撃は、サードパーティリスク管理の重要性を浮き彫りにしました。損保ジャパンは委託先に対する定期的なセキュリティ対策の確認を行うとしていますが、事件発生までその体制が不十分だったことは明らかです。
地域金融機関では、システム運用や事務処理の多くを外部委託に依存しています。委託先のセキュリティレベルが自社の信頼性に直結するため、契約時だけでなく運用中の継続的な監視が重要です。
インシデント対応の遅れ
2024年5月に発生したギオン社での攻撃が2025年5月まで公表されなかったことは、インシデント対応体制の問題を示しています。個人情報保護法では、発覚日から30日以内の確報が義務付けられており、適切な報告体制の構築が必要です。
地域金融機関が直面する特有のリスク
予算制約による対策の限界
大手金融機関と比較して、信用金庫は限られた予算の中でサイバーセキュリティ対策を実施しなければなりません。しかし、攻撃者は組織の規模に関係なく、セキュリティの脆弱性を狙ってきます。
共同システム依存のリスク
多くの信用金庫がしんきん共同システムを利用していますが、個別の業務システムや委託先管理は各金庫の責任となります。システムの標準化により一定のセキュリティレベルは確保されているものの、運用面での注意が必要です。
専門人材不足
地域金融機関では、サイバーセキュリティ専門人材の確保が困難な状況にあります。外部専門家との連携や職員教育の充実により、この課題に対処する必要があります。
信用金庫が今すぐ取るべき5つの対策
経営陣のリーダーシップ強化
金融庁のガイドラインでも強調されているように、経営陣がサイバーセキュリティリスクを重要な経営課題として位置づけ、必要な経営資源を配分することが不可欠です。定期的なリスク評価と対策状況の報告体制を整備し、トップダウンでセキュリティ意識を浸透させる必要があります。
委託先管理体制の徹底
業務委託契約において、サイバーセキュリティリスクへの対応に関する役割と責任範囲を明確化することが重要です。委託先選定時の評価基準設定、定期的なセキュリティ監査、インシデント発生時の報告体制を契約に盛り込む必要があります。
脆弱性管理の強化
独立したWebシステムを含む全てのシステムについて、定期的な脆弱性診断を実施し、迅速なパッチ適用体制を構築する必要があります。特に、インターネットに接続されたシステムについては、より厳格な管理が求められます。
インシデント対応計画の整備
サイバー攻撃発生時の初動対応、封じ込め、復旧までの手順を明文化し、定期的な訓練を実施することが重要です。関係機関への報告体制、顧客対応手順、広報対応まで含めた包括的な計画が必要です。
職員教育と意識向上
標的型攻撃やフィッシング詐欺など、人的要因によるセキュリティインシデントを防ぐため、全職員を対象とした定期的な教育・訓練が不可欠です。特に、テレワーク環境でのセキュリティ対策についても重点的に教育する必要があります。
まとめ:サイバーセキュリティは経営課題
損保ジャパンの1750万件情報漏洩事件は、大手金融機関であってもサイバー攻撃の脅威から完全に逃れることはできないという現実を突きつけました。地域金融機関である信用金庫にとって、この事件から学ぶべき教訓は数多くあります。
最も重要なのは、サイバーセキュリティを単なるIT部門の課題として捉えるのではなく、経営全体の重要課題として位置づけることです。限られた経営資源の中でも、リスクベースでの対策優先順位を明確にし、段階的に対策レベルを向上させていく必要があります。
今回の分析を踏まえ、各信用金庫におかれましては、自庫のサイバーセキュリティ管理態勢を今一度見直し、実効性のある対策の実施をお願いいたします。地域の皆様からの信頼を守るため、組織一丸となってサイバーセキュリティ強化に取り組んでまいりましょう。
