2025年11月25日 株式会社伊予銀行は、「伊予銀行に対する満足度に関するアンケート調査」で利用していた委託先企業のクラウドサービスが不正アクセスを受け、一部の情報が外部へ流出した可能性があると公表しました。
概要
対象となっているのは、
-
2021年9月実施の「伊予銀行に対する満足度に関するアンケート」
-
2023年2月実施の同アンケート
の2回分です。いずれも伊予銀行が外部企業に調査業務を委託して実施したもので、その再委託先が利用していたクラウドサービスのサーバーが、不正アクセスおよび身代金要求を伴う攻撃を受けたことが発端です。
流出が確認された情報の内容
伊予銀行の公表によると、流出が確認されたお客さま情報は次のとおりです。
-
アンケート内の自由記述欄に、回答者自身が記入した氏名・住所等が含まれていたものが2件
-
アンケートに付与していた「回答者ID」
自由記述欄に個人を特定できる情報を書き込んでいたケースが2先あり、その内容がクラウドサービス側に保存されていたため、不正アクセスにより外部流出の可能性があると判断されています。
一方、回答者IDについては、アンケート集計のために付与した番号であり、ID単体では個人を特定することはできません。そのため、伊予銀行は「回答者IDの流出自体がお客さまに不利益を及ぼすものではない」としています。
現時点の公表内容では、アンケート回答以外に、顧客名簿や連絡先一覧といった形式での情報流出は示されておらず、影響範囲は「一部の自由記述欄」と「回答者ID」に限られていると説明されています。
委託・再委託の構造とJijilla不正アクセス
今回のインシデントは、伊予銀行自身のシステムが攻撃されたわけではなく、委託・再委託の先にあるクラウドサービスが狙われた形です
-
伊予銀行は、アンケート調査を株式会社野村総合研究所(NRI社)に委託
-
NRI社は、アンケート集計等の一部業務を日本アスペクトコア株式会社(NAC社)に再委託
-
NAC社は、郵送で回収したアンケート回答を電子データ化するため、ローレルバンクマシン株式会社(LBM社)が提供するAI-OCRサービス「Jijilla(ジジラ)」などのクラウド基盤を利用
今回不正アクセスを受けたのは、このLBM社のデータ保存サーバーです。
LBM社によれば、9月25日にJijillaのサーバーが第三者による不正アクセスを受け、一部サービスが停止しました。その後、当該システムの隔離と第三者機関による調査を経て、10月15日に個人情報の一部が外部へ漏えいした可能性が判明したとされています。
Jijillaを巡る他社インシデントとの共通点
今回のクラウド不正アクセスは、伊予銀行だけでなく、同じくJijillaを利用していた他社にも影響を与えています。
第一フロンティア生命保険は、年1回の「お客さまアンケート」の集計業務をNRIを通じてNRIフィナンシャル・グラフィックスへ委託し、さらにNRIフィナンシャル・グラフィックスが日本アスペクトコア(NAC社)に再委託していました。ここでも、NAC社が使用していたLBM構築の入力補助ツール(Jijilla)が不正アクセス被害を受け、同社のアンケート回答データが漏えいした可能性があると公表されています。
関連記事
ローレルバンクマシンのJijillaへの不正アクセスでみずほ証券と丸三証券も情報流出の可能性を発表
ローレルバンクマシンのAI-OCR Jijilla 不正アクセスで情報流出の可能性-第一フロンティア生命保険や野村證券、NRIフィナンシャル・グラフィックスもインシデント 発表
パーソル 総合研究所、委託先が利用したローレルバンクマシンのJijillaへの不正アクセスで情報流出の恐れ
ローレルバンクマシンのJijillaへの不正アクセスで広島銀行が情報流出の可能性を発表
ローレルバンクマシンのJijillaへの不正アクセスで東洋証券が情報流出の可能性を発表
オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩
OpenAI、サードパーティーツールのインシデントで個人情報漏洩の可能性
ローレルバンクマシンのJijillaへの不正アクセスで慶應義塾大・通信教育部が情報流出の可能性を発表
ワイエイシイガーターでランサムウェアの被害、不正アクセスを受けシステム障害が発生
