2026年4月28日、内閣府沖縄総合事務局(沖縄県那覇市)は、2026年1月に同局が利用する大容量ファイル転送サービス「FileZen」(開発元:株式会社ソリトンシステムズ)の専用サーバーに不正アクセスがあり、サーバーに保存されていた個人情報が外部に漏洩した可能性があることが判明したとして公表しました。漏洩のおそれがある個人情報は合計15,091名に上ります。
本件はFileZenに存在するOSコマンドインジェクション脆弱性CVE-2026-25108(JVN#84622767、CVSS v3.0:8.8)の悪用による可能性が強く示唆されます。ソリトンシステムズは2026年2月13日の脆弱性公表時点で「本脆弱性の悪用による被害報告を1件以上受けている」と明記しており、その時期・製品・被害の形態が本件と合致しています。
▶ 関連記事:FileZenのログオン後画面にコマンドインジェクション脆弱性——CVE-2026-25108(JVN#84622767)
▶ 関連記事:CISAがソリトンシステムズ FileZenの脆弱性(CVE-2026-25108)をKEVに追加
この記事のサマリー
- 2026年1月、沖縄総合事務局が利用するFileZenの専用サーバーに不正アクセスが発生し、15,091名の個人情報が漏洩した可能性があります。沖縄総合事務局が4月28日に公表しました。
- 漏洩対象は土地原簿(氏名・住所4,930名)・催し参加者名簿と顔写真(8,549名)・フェリーキャンセル料払戻明細(577名)・港湾関係資料(695名)・資格証明書(4名)・経歴書(3名)・FileZen送受信者情報(216名)等多岐にわたります。
- 沖縄総合事務局の公表では「大容量ファイル転送サービスの脆弱性をついた不正アクセス」と原因を説明しており、CVE番号の明示はないもののCVE-2026-25108との関連が状況証拠から強く示唆されます。
- CVE-2026-25108は、ログオン後画面への細工されたHTTPリクエストにより任意のOSコマンドが実行できるOSコマンドインジェクション脆弱性(CVSS v3.0:8.8)です。ソリトンシステムズは2026年1月13日にパッチ(V5.0.11)を先行リリースしており、2月13日の一般公表時点で「被害報告1件以上を受けている」と明記していました。
- CISAは2026年2月24日にKEVカタログへ追加。米国連邦機関の対応期限は2026年3月17日です。
- 現時点で本件に伴う具体的な被害は確認されていません。連絡先が特定できた方には個別通知を順次実施しています。
目次
事案の概要
| 項目 | 内容 |
|---|---|
| 発生時期 | 2026年1月 |
| 公表日 | 2026年4月28日 |
| 被害組織 | 内閣府 沖縄総合事務局 |
| 被害システム | FileZen専用サーバー(開発元:株式会社ソリトンシステムズ) |
| 原因 | 大容量ファイル転送サービスの脆弱性を悪用した不正アクセス |
| 漏洩のおそれがある個人情報総数 | 15,091名 |
| 現時点の二次被害 | 確認されていない |
漏洩のおそれがある個人情報の詳細
| 情報の種別 | 対象者数 | 含まれる情報 |
|---|---|---|
| 各種催しの参加者名簿・会場写真 | 8,549名 | 氏名または顔写真 |
| 羽地大川土地改良区 土地原簿 | 4,930名 | 氏名・住所 |
| フェリー旅客キャンセル料払戻明細(令和6年10月〜令和7年9月・那覇⇔久米島) | 577名 | 個人または代表者の氏名(カナ) |
| 港湾関係定時総会資料 | 695名 | 氏名・メールアドレス |
| FileZen送受信者情報 | 216名 | 氏名・メールアドレス |
| 土地改良区理事会資料 | 117名 | 氏名・住所 |
| 各技術資格証明書・免状 | 4名 | 氏名・住所・生年月日・顔写真・資格情報 |
| 経歴書 | 3名 | 氏名・住所・生年月日・電話番号・学歴・職歴・資格情報 |
| 合計 | 15,091名 |
CVE-2026-25108との関連
本件の原因について、沖縄総合事務局の公表はCVE番号を明示していません。しかし以下の状況証拠からCVE-2026-25108(FileZenのOSコマンドインジェクション脆弱性)との強い関連が推測できます
時系列の整合性として、沖縄総合事務局の被害発生は2026年1月でソリトンシステムズはこの脆弱性への対応パッチ(V5.0.11)を2026年1月13日に先行リリースしており、一般への脆弱性公表は1か月後の2026年2月13日でした。パッチリリース前後の時期に攻撃が発生したという構造が合致します。
「被害1件以上」との整合性として、ソリトンシステムズは2026年2月13日の公表文に「本脆弱性の悪用による被害報告を1件以上受けている」と明記していますので公表時点での「被害1件以上」が本件を指している可能性は相当高いとみられます。
ただし、沖縄総合事務局の公表文にCVE-2026-25108の直接的な言及はありません。
CVE-2026-25108とは
CVE-2026-25108は、FileZenのログオン後画面の特定フィールドに細工されたHTTPリクエストを送信することで、遠隔の第三者が任意のOSコマンドを実行できるOSコマンドインジェクション脆弱性(CWE-78)です。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-25108 |
| JVN番号 | JVN#84622767 |
| 深刻度 | CVSS v3.0:8.8(High) / v4.0:8.7(High) |
| 影響を受けるバージョン | FileZen V4.2.1〜V4.2.8、V5.0.0〜V5.0.10 |
| 影響を受けない製品 | FileZen S |
| 修正バージョン | V5.0.11以降 |
| CISA KEV追加日 | 2026年2月24日 |
| FCEB機関の対応期限 | 2026年3月17日 |
悪用の成立条件は2つあります。①FileZenのウイルスチェックオプション(BitDefenderライセンス)が有効であること、②攻撃者が少なくとも一般ユーザー権限でログオンできること(認証情報の漏洩・推測・パスワードの使い回し等)です。この条件が揃うと、サーバー内でのOSコマンドの任意実行・ファイルの窃取・バックドアの設置・内部ネットワークへの横移動が可能になります。
FileZen利用組織が今すぐ取るべき対応
V5.0.11へのアップデートが最優先です。
V4.x系はすでにファームウェア提供が終了しており、パッチを適用できません。V4.x系を利用している場合はV5系への移行と同時にV5.0.11へのアップデートが必要です。V5.0.0〜V5.0.10を利用している場合は即座にV5.0.11以降へのアップデートを実施してください。
侵害の痕跡確認として、攻撃を受けた可能性がある場合は、ソリトンシステムズが提供する侵害確認方法を参照してください。FileZenにはシステムディレクトリの変更を記録するファイル監視機能があり、ログから不審な活動の痕跡を確認できます。
全ユーザーのパスワード変更として、攻撃者がログオン可能な状態(認証情報の取得)にあった可能性があるため、V5.0.11へのアップデートと並行して全ユーザーのパスワード変更を強く推奨します。
情シス・セキュリティ担当者へのポイント
本件はFileZenという特定製品の脆弱性が「大量の個人情報を保管している大容量ファイル転送サービス」という性質と組み合わさることで深刻な影響をもたらした事例です。
ファイル転送サービスは機密性の高い文書・データが集中するため、攻撃者にとって高価値なターゲットです。境界機器・ファイル転送機器・VPN機器のパッチ適用は、エンドポイントのパッチ管理と同等以上の優先度で行うことが求められます。
また「ログオン後の脆弱性」という特性も重要です。本脆弱性は認証を通過した後の操作で発動するため、「外部からアクセスできないネットワークに置いているから安全」という判断は成り立ちません。内部ユーザーや窃取された認証情報を持つ攻撃者が一般ユーザーとしてログオンするだけで攻撃が成立します。
よくある質問(FAQ)
Q. 沖縄総合事務局の被害はCVE-2026-25108によるものと確定していますか? 現時点では確定していません。沖縄総合事務局の公表文にはCVE番号の記載がなく「ファイル転送サービスの脆弱性をついた不正アクセス」とのみ記載されています。時期・製品・ソリトンの「被害1件以上確認」との整合性から関連が強く示唆されますが、確認されるまでは「関連が示唆される」として扱うことが適切です。
Q. 自分の情報が漏洩したかどうか確認するにはどうすればいいですか? 連絡先が確認できた方には個別通知が順次行われています。通知が届いていない場合でも不安な方は沖縄総合事務局総務部情報システム管理課(TEL:098-866-0050、担当:棚原)に問い合わせてください。
Q. FileZen V4.x系を利用しているがパッチを適用できますか? V4.x系へのファームウェア提供はすでに終了しており、CVE-2026-25108のパッチはV5.0.11のみです。V4.x系を利用している場合はV5系への移行を行った上でV5.0.11以降を使用してください。
Q. ウイルスチェックオプションを無効にすれば安全ですか? ウイルスチェックオプションの無効化は攻撃の直接的な条件を外すことで一時的に攻撃リスクを低下させますが、恒久的な対策にはなりません。V5.0.11へのアップデートが唯一の確実な対策です。
参考情報
- 不正アクセスによる個人情報漏えいの可能性について(内閣府 沖縄総合事務局、2026年4月28日)
- FileZenにおけるOSコマンドインジェクションの脆弱性(CVE-2026-25108)に関する注意喚起(JPCERT/CC、2026年2月13日)
- JVN#84622767 FileZenにおけるOSコマンドインジェクションの脆弱性(JVN、2026年2月13日)
- 【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について(株式会社ソリトンシステムズ)
- 【関連記事】FileZenのログオン後画面にコマンドインジェクション脆弱性——CVE-2026-25108(JVN#84622767)
- 【関連記事】CISAがソリトンシステムズ FileZenの脆弱性(CVE-2026-25108)をKEVに追加
- 本件お問い合わせ先:内閣府 沖縄総合事務局総務部情報システム管理課 TEL:098-866-0050
関連記事
中国国家安全部の「契約ハッカー」を米国に引き渡し Silk Typhoon(HAFNIUM)メンバーのXu Zewei、COVID-19研究も窃取
CISAがソリトンシステムズ FileZenの脆弱性(CVE-2026-25108)をKEVに追加
MaLion 端末エージェント(Windows)で複数の深刻な脆弱性(CVE-2025-59485 ,CVE-2025-62691, CVE-2025-64693)
SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)
Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)
富士通のAuthConductor Client Basic V2に脆弱性、SYSTEM権限での不正操作の恐れ
エレコム製無線LANルータに複数の深刻な脆弱性、サポート終了製品も含まれる(CVE-2025-43879,CVE-2025-48890)
能動的サイバー防御とは 概要や問題点を専門家が解説
TSMC元エンジニア4名に最長10年の実刑-2nm 先端技術の営業秘密漏洩で 東京エレクトロン 子会社に約7億円の罰金
