セキュリティニュース

阿波銀行、OAシステムのテスト環境に不正アクセス — 顧客情報約2.8万件が漏えい

阿波銀行(徳島市)は2026年4月3日、行内の情報共有に使うOAシステムのテスト環境が不正アクセスを受け、顧客情報等延べ2万7,745件が漏えいしたと発表した。侵入経路や影響範囲については現在も調査中としている。

3行要約

何が起きたか:阿波銀行のOAシステムテスト環境が不正アクセスを受け、顧客情報等延べ約2.8万件が外部に漏えいした。
影響:法人インターネットバンキング契約先、株主、その他顧客の氏名・住所・メールアドレス・口座番号等が対象。一部には預金・貸出金等の取引情報も含まれる。
対応:被害拡大防止のためシステムへのアクセスを遮断済み。監督官庁・警察への報告も実施。漏えいが確認された顧客には個別に通知する。

わかっていること/わかっていないこと

わかっていること

・漏えい件数は延べ2万7,745件と確認済み
・被害を受けたのは通常業務系とは切り離されたテスト環境
・暗証番号・パスワード等は漏えいデータに含まれない
・2026年3月25日夜にアクセスを遮断済み
・監督官庁等への報告および警察への相談を実施済み
・現時点で情報の悪用被害は確認されていない

わかっていないこと

・不正アクセスの具体的な侵入経路(調査中)
・漏えいの全体規模(追加で漏えいした情報がある可能性を否定できず)
・攻撃者の属性・目的
・具体的な再発防止策(調査結果を待って検討)

漏えいが確認された情報の内訳

漏えいが確認された顧客情報等はのべ2万7,745件。内訳は次の3区分となる。

第一に、2024年10月時点の法人インターネットバンキング契約先の情報が1万872件。漏えいした項目は氏名(会社名)および登録メールアドレスだ。

第二に、2021年3月31日時点の株主情報が1万1,122件。氏名(会社名)、住所、株主番号、保有株式数が含まれる。このうち5,271件については配当金受取用の預貯金口座番号も漏えいしているという。

第三に、その他の顧客・関係先の情報が5,751件。主に2021年4月時点の氏名(会社名)が対象だが、そのうち127件については氏名・住所に加えて預金・貸出金等の取引情報も含まれるとしている。

発覚から遮断まで — 外部セキュリティ会社の通報が端緒

同行によると、2026年3月24日(火)に外部のセキュリティ会社から「情報が漏えいしている可能性がある」との連絡を受け、調査を開始した。翌25日(水)夜には漏えいしている情報が同行のものであることを確認。ただちに当該システムへのアクセスを遮断し、漏えい経路および影響範囲の特定調査に着手した。

今回被害を受けたのは、システム開発やテストを目的として設けたテスト環境だ。通常業務を処理する本番系とは論理的に切り離されており、同行は「各種お取引は通常どおりご利用いただける」としている。

二次被害への警戒を呼びかけ

現時点で情報の悪用被害は確認されていないと同行は説明する。一方で、漏えいした情報を利用した電話・メール・郵便物による勧誘や詐欺に注意するよう顧客へ呼びかけており、不審な連絡を受けた場合は問い合わせ窓口(フリーダイヤル:0120-39-8689)への相談を求めている。4月3日(金)は午後9時まで、4月4日・5日・11日・12日は土日を含め対応するとした。

金融機関のテスト環境管理に問題提起

金融機関においてテスト環境への不正アクセスが情報漏えいにつながる事例は近年増加傾向にある。本番系と切り離されていても、テスト環境には実顧客データが流用されるケースが多く、今回の事案もそのリスクが顕在化したものといえる。テスト環境に対する本番系と同水準のアクセス制御・監視体制の整備が、金融業界全体の課題として改めて浮き彫りになった形だ。

同行は「具体的な再発防止策は調査結果を踏まえて検討する」としており、詳細の開示は今後の調査完了を待つ必要がある。

タイムライン

2026年3月24日(火) — 外部セキュリティ会社から情報漏えいの可能性について通報を受け、調査開始
2026年3月25日(水)夜 — 漏えい情報が阿波銀行のものと確認。テスト環境へのアクセスを遮断。漏えい経路・影響範囲の調査を開始
2026年4月3日(金) — 監督官庁・警察への報告・相談を経て、公式発表。顧客への個別通知を開始

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,