不正アクセス数珠繋ぎ　～委託先の委託先からの被害も～

農林中央金庫が不正アクセス被害を受けた――と聞くと驚く人も多いでしょう。ただし今回、農林中金のシステムが直接侵害されたわけではありません。委託先である日本社宅サービスが利用していたメールシステム（TOKAIコミュニケーションズ提供）が不正アクセスを受け、その影響で、社宅を利用した経験のある農林中金職員の個人情報が漏えいした可能性があるというものです。総資産100兆円規模の国内最大級金融機関が、間接的とはいえ情報漏えいリスクに直面した事実は、企業の委託構造が抱える新たな脆弱性を示しています。

ココがポイント

農林中金、委託先が利用するメールシステムに不正アクセス

出典：Bloomberg　2025/12/29(月)

日本社宅サービス、メールヘッダ情報流出か　TOKAIコミュ利用、本文は対象外

出典：Cross&Crown Security Intelligence LLC　2025/12/23(火)

TOKAIコミュニケーションズの不正アクセス 委託先各社がインシデント発表

出典：合同会社ロケットボーイズ - セキュリティ 情報漏洩のニュースとBtoB マーケティング コンサル 支援　2025/12/25(木)

エキスパートの補足・見解

今回の農林中金の事案は、委託先の不正アクセスが委託元の情報漏えいにつながる典型例です。近年、こうした「委託先経由」の漏えいは急増しています。昨年のイセトーへのランサムウェア攻撃では自治体や銀行が広く巻き込まれ、最近も国立国会図書館や日産自動車など、委託先を起点とした漏えいが相次いでいます。

特に今回特徴的なのは、農林中金→日本社宅サービス→TOKAIコミュニケーションズという“数珠つなぎ”の構造です。つまり委託先そのものが攻撃されたのではなく、さらにその先のサービスが侵害され、結果として大企業へ影響が及びました。中小規模の企業や外部サービスの被害が、巨大組織にまで波及しうることを示す象徴的な例です。

こうしたリスクに対し委託元ができることは、委託先のセキュリティ対策を「契約と説明」で終わらせず、評価と確認を継続することです。しかし実際には容易ではありません。来年度後半から経産省のセキュリティ評価制度が始まる予定ですが、義務ではなく、社会全体で実効性ある運用へ育てられるかが今後の鍵となります。