2026年5月19日(第一報)および同月27日(第二報)、株式会社石川コンピュータ・センター(ICC)は、同社の添付ファイル分離メールサーバに対するサイバー攻撃(不正アクセス)を公表しました。
調査の結果、外部に送信されたメールの添付ファイル最大2,551件、および90日分のログに含まれるメールアドレス14,071件が漏えいした可能性があります。深刻なのはその内容よりも構造的なリスクです。PPAPの代替策として多くの企業が導入している「添付ファイル分離サービス」そのものが攻撃対象になったという事実は、ファイル転送セキュリティの根幹を揺るがすものです。現時点では外部への実害・不正利用は確認されていませんが、調査は継続中です。本記事では発覚の経緯・漏えい情報の全容・添付ファイル分離サービスが標的になる構造的問題・情報システム担当者が取るべき対応を解説します。
サマリー
- 2026年5月8日に添付ファイル分離メールサーバの送信機能停止を検知。その後の調査で5月14日にサイバー攻撃と判明、完全遮断
- 発覚から完全遮断までの6日間、添付ファイルのダウンロード機能が稼働し続けており、攻撃者によるアクセスが可能な状態が継続していた
- 漏えい可能性のある情報は「添付ファイル付きメール1,929件・添付ファイル2,551件」(4/24〜5/8の送信分)および「90日分のログに含まれるメールアドレス14,071件」
- ICCは自治体・医療・民間向けITサービスを提供しており、添付ファイルに行政・医療関連の機密情報が含まれていた可能性がある
- PPAPの代替として普及している「添付ファイル分離サービス」が攻撃対象になったという構造的な問題が浮き彫りになった
- 現時点で不正利用等の事実は確認されていないが、外部専門機関による調査は継続中
目次
発覚から公表までの経緯—6日間のダウンロード機能継続が最大のリスク要因
株式会社石川コンピュータ・センター(ICC)の公式発表(第二報)によれば、本事案の時系列は以下のとおりです。
2026年5月8日、添付ファイル分離メールサーバの送信機能が停止しました。ICCはこの時点で、当該サーバを経由しない構成に外部メール送信を切り替えましたが、停止の原因はこの段階では不明でした。その後、原因特定のためメーカーにログを提供して調査を依頼した結果、5月14日に本事象がサイバー攻撃によるものと判明し、同日に当該サーバを完全遮断しました。
本事案において最も深刻な問題点は、5月8日の「送信機能停止の検知」から5月14日の「完全遮断」までの6日間にあります。
ICCが明示的に認めているとおり、「当該サーバにおける添付ファイルのダウンロード機能は停止していなかったため、5月14日に完全遮断するまでの間、添付ファイルのダウンロードが可能な状態となっておりました」。つまり、送信機能が停止していてもダウンロード機能は動き続けており、攻撃者がそのURLにアクセスすれば添付ファイルを取得できる状態が6日間継続していたことになります。
ICCは5月19日に第一報を公表し、今回の第二報(2026年5月27日)で影響範囲の具体的な数値を明らかにしました。
漏えい可能性のある情報の全容——添付ファイル2,551件とメールアドレス14,071件
ICC公式発表によれば、外部への漏えいの可能性がある情報は2つのカテゴリに整理されます。
当社から外部に送信されたメール情報(2026年4月24日1:00〜2026年5月8日18:16) 保存期間の仕様上、添付ファイル分離メールサーバには直近2週間分の添付ファイルが保管されており、この期間に送付されたメールが対象となります。
漏えいの可能性がある情報は、差出人メールアドレス、宛先メールアドレス、メールサイズ、メールタイトル、そして添付ファイルそのものです(メール本文は含まれない)。添付ファイル付きメールの総件数は1,929件、添付ファイルの総数は2,551ファイルに上ります。
ログ情報(90日分) 添付ファイル分離メールサーバには、添付ファイルの有無にかかわらず全送受信のログが蓄積されており、この90日分のログにもメール関連情報が含まれていることが確認されています。含まれる情報は差出人メールアドレス、宛先メールアドレス、メールサイズ、メールタイトル(メール本文・添付ファイルは含まれない)です。ログに含まれていたICC以外のメールアドレス数は重複を除いて14,071件となっています。
注目すべきは、ICCが自治体・医療・民間向けのITサービスを広く提供している点です。送信メールの添付ファイルには、自治体との契約書類、医療機関向けの仕様書、個人情報を含む業務資料など、高い機密性を持つファイルが含まれていた可能性があります。添付ファイルの「中身」の機密度は企業・取引内容によって大きく異なりますが、自治体・医療というセンシティブな顧客を多く抱えるICCという事業特性を踏まえると、影響の深刻さは件数の大きさだけでは測れません。
添付ファイル分離サービスが標的になった構造的問題—PPAPの代替策に潜む新リスク
本事案が情報システム担当者にとって特に重大な意味を持つのは、攻撃対象が「添付ファイル分離メールサーバ」だったという点です。
添付ファイル分離サービスは、かつて日本企業に広く普及していたPPAP(パスワード付きZIPファイルをメールで送り、パスワードを別メールで送る方式)の代替策として普及した仕組みです。内閣府がPPAPの廃止を宣言した2020年以降、多くの企業・自治体がこの方式に移行しました。添付ファイルをクラウドサーバに保管してURLを通知する方式は、メール本体から添付を切り離すことでマルウェアの直接添付リスクを減らす目的で導入されています。
しかし今回の事案が示すのは、その「分離先のサーバ」自体が攻撃ターゲットになるという逆説的なリスクです。メールの添付ファイルをわざわざ一箇所に集積するサーバは、攻撃者にとって「複数の送信先に向けた機密ファイルがまとめて保管されている場所」として非常に魅力的な標的になります。一つのサーバを侵害するだけで、複数の取引先に送ったすべての添付ファイルにアクセスできるためです。
また、URLダウンロード方式の添付ファイル分離サービスは、送信元が正規サービスである以上、受信者側のセキュリティ機器がURLをブロックしにくいという特性もあります。不正アクセスの手口・種類・対策という観点では、PPAPを排除したことで別の攻撃面が生まれたという点をあらためて認識する必要があります。
ICCという企業属性が持つインパクト——自治体・医療向けITベンダーへの攻撃
ICCは石川県金沢市に本社を置き、自治体(官公庁・文教)、医療(医療・福祉)、民間(販売業・製造業)向けのITシステムを幅広く提供しています。自治体向けでは住民への緊急連絡網サービス「COUS緊急連絡網」やマイナンバー収集・管理代行サービスも手がけており、セキュリティソリューション(情報漏えい対策)も提供しています。
自治体・医療向けのシステムインテグレーターやITベンダーが持つメールの添付ファイルには、個人情報、医療・福祉に関わる業務データ、行政の内部資料など機微度の高いデータが含まれることが多く、一般的な民間企業と比較してリスクの深刻度は高い傾向があります。
こうした業態のITベンダーを標的にすることで、攻撃者はそのベンダーが持つ情報だけでなく、ベンダーを「踏み台」にして行政機関や医療機関に対するフィッシングや標的型攻撃に展開できる可能性があります。
ICCのメールアドレスから届く正規に見えるメッセージを偽装した攻撃が、今後の二次被害として発生する可能性には注意が必要です。サプライチェーン型のサイバー攻撃事例として類似のパターンが増加していることも踏まえると、被害を受けた取引先各社での警戒態勢の強化が求められます。
FAQ
Q. 添付ファイル分離サービスとはどのような仕組みですか? A. メールを送信する際に添付ファイルを分離してサーバに保管し、メール本文には添付ファイルのダウンロード用URLのみを記載する方式です。受信者はそのURLにアクセスしてファイルをダウンロードします。PPAPの代替策として多くの企業・自治体が導入しています。今回の事案はその保管サーバ自体が攻撃対象になりました。
Q. 自分のメールアドレスが漏えいしたかどうかはどうすればわかりますか? A. ICCは対象の添付ファイル付きメール送信先に対して順次連絡を行っているとしています。連絡がない場合でも、ICCのお問い合わせフォームを通じて確認することが可能です。ただし対応に時間がかかる場合もあるため、ICCと業務上のメールやり取りがあった場合は自衛的な警戒措置(フィッシングメールへの注意等)を先行して講じることを推奨します。
Q. 「メール本文は含まれていない」とありますが、それでも問題はありますか? A. 添付ファイル自体(2,551ファイル)には様々な内容が含まれている可能性があります。契約書、提案書、個人情報を含む名簿、技術仕様書など業務上の機密情報が添付されている場合があり、本文が漏えいしていないことで安全とは言えません。また、14,071件のメールアドレスリストは、フィッシング攻撃の標的リストとして悪用される可能性があります。
Q. 添付ファイル分離サービスを利用している自社は何をすればよいですか? A. まず利用しているサービスのサーバに対する不正アクセス監視・ログ監視が適切に設定されているかを確認してください。次に、添付ファイル保管サーバへのアクセス権限管理(不要なポートの閉鎖、認証強化)の見直しを行ってください。また、保管期間の長期化(今回は90日分のログ、2週間分のファイルが対象)はリスク増大につながるため、業務上必要な最短期間に設定することも検討すべきです。
Q. 今後、続報は出る予定ですか? A. ICCは「今後の調査の進捗に伴い、開示すべき新たな事実や変更が生じた場合は速やかに同社サイトにてお知らせする」としています。外部専門機関による調査が継続中であることから、第三報以降の公表が行われる可能性があります。
、高度な標的型-サイバー攻撃を受ける―迅速な検出と封じ込めも、国際的な司法機関への圧力続く-200x200.png)







