一般財団法人新日本検定協会(東京都港区、阿久根泰一会長)は5月11日、2025年11月に受けたサイバー攻撃の調査結果を公表した。サーバーがランサムウェアで暗号化されたうえ、ファイルを外部に送る転送ツールが実行された痕跡も確認されたことから、保存していた個人データが外部に流出した可能性が高いとしている。流出の恐れがある件数は合計約3万350件に上る。ダークウェブやリークサイト上での漏えいや不正利用は、現時点で確認されていないという。
3行サマリー
見出し
何が起きた:2025年11月26日、複数サーバーでデータ暗号化を検知。ランサムウェアによる攻撃と判明した。
影響:取引先関係者ら計約3万350件分の氏名・住所・電話番号・メールアドレスなどが流出した可能性が高い。
対応:被害を受けたサーバーを廃棄し、ネットワークを再構築。24時間体制で不審な挙動を自動遮断する仕組みを整備した。
わかっていること/わかっていないこと
わかっていること
・ランサムウェア実行によるサーバー暗号化が発生した。
・ファイル転送ツールが実行された痕跡を確認した。
・ネットワーク機器の脆弱性を悪用した外部侵入だった。
・ドメイン管理者アカウントが不正に利用された。
・個人データ約3万350件が外部に流出した可能性が高い。
わかっていないこと
・攻撃者像や攻撃グループ名。
・悪用された機器および脆弱性の具体的な種別。
・身代金要求の有無や金額。
・流出データの第三者による取得・閲覧の状況。ダークウェブやリークサイトでの公開は未確認。
事案の経緯
同協会によると、2025年11月26日に社内サーバーへアクセスできない状態であることが判明。IT担当者が確認したところ、複数のサーバーでデータが暗号化されていた。同協会は直ちに対象システムをインターネットから隔離・遮断し、対策本部を設置。外部の専門業者へ調査を委託した。
翌27日にはホームページでサイバー攻撃の発生を第一報として公表。調査は2025年末に終了し、2026年1月8日に報告書を受領した。報告書では、ランサムウェアの実行による暗号化に加え、外部へファイルを転送するツールが動作した痕跡が確認されたとしている。
侵入経路:ネットワーク機器の脆弱性を悪用
調査結果によると、攻撃者はネットワーク機器の脆弱性を突いて外部から侵入。ドメイン管理者アカウントを不正に利用して内部ネットワークへログインしたうえで、システム構成情報の探索や、ドメインアカウントのユーザー名・パスワードの取得を行った痕跡が残っていた。
その後はリモート操作が可能な状態にシステムを設定し、フォルダーやファイルの探索・窃取を行った可能性があるという。初期侵入から権限取得、横展開、データ持ち出し、暗号化という、近年の標的型ランサムウェアでよくみられる手口に沿った攻撃とみられる。
流出の恐れがあるデータ
流出の可能性があるのは、業務に関連して受領した取引先など関係者の氏名・住所・電話番号・メールアドレスなど約3万件。これに加え、同協会の従業員・退職者ら関係者の同様の情報が約300件、採用候補者の同様の情報が約50件含まれる。合計は約3万350件となる。
同協会は、現時点でダークウェブやリークサイト上での漏えいは確認されておらず、データが不正に利用された事実も確認されていないとしている。流出の恐れがある対象者には、取引先または同協会から個別に連絡するという。
対応策:被害サーバーを廃棄、自動遮断を導入
同協会は、攻撃を受けたサーバーをすべて廃棄し、ネットワークを新たに再構築。可能な範囲のデータをバックアップから復元したとしている。既存の振る舞い検知機構に加え、24時間体制で不審な挙動をリアルタイムに自動遮断する仕組みを整備した。
あわせて、セキュリティ専門業者の助言を受けながら追加の強化策を講じるとともに、個人データの管理体制の見直しを進める方針を示した。関係者には念のためパスワードの変更や、不審なメール・連絡への注意を呼びかけている。
背景:検査機関を狙うランサムウェア
新日本検定協会は、貨物の検査や鑑定、分析試験を主な業務とする第三者検査機関である。取引先には商社、物流、製造業など幅広い事業者が含まれるとみられ、保有していた個人データはサプライチェーン上の関連業務に紐づくものが多い可能性がある。
近年は、検査機関や業界団体、認証機関を標的としたランサムウェア攻撃が国内外で相次いで報告されている。組織内に取引先の機微情報が集積しやすい点に攻撃者が着目しているとみられ、こうした機関に対するセキュリティ強化の必要性が指摘されている。
問い合わせ窓口
同協会は本件専用の問い合わせ窓口として、フリーダイヤル0120-184-058を設置している。受付時間は土日祝日を除く平日9時~13時、14時~17時。
タイムライン
2025年11月26日:社内サーバーへのアクセス障害を検知。複数サーバーで暗号化を確認し、インターネット遮断措置を実施。
2025年11月27日:ホームページでサイバー攻撃の発生を第一報として公表。
2025年末:外部専門業者による調査が終了。
2026年1月8日:調査報告書を受領。データ外部流出の可能性が高いと判断。
2026年5月11日:調査結果および再発防止策の最終的な内容を公表。