1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納

阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納

セキュリティニュース

投稿日時: 更新日時:

阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納

2026年6月3日、阿波銀行(頭取:福永丈久)は同年4月3日に公表したOAシステムのテスト環境への不正アクセス・顧客情報漏えい事案の調査結果(続報)を発表し、3つの管理態勢上の不備が明らかになったと報告しました。

最大の問題は、テスト環境が「AI活用のシステム高度化作業等」を理由に目的完了後も廃止されず利用し続けられていたことです。

本来であれば利用目的が完了した時点で廃止・データ消去すべき環境が延命し、そこに不十分な不正アクセス防止機能が重なった結果、のべ27,745件の顧客・株主情報の漏えいを招きました。現時点でさらなる情報漏えい・拡散・二次被害は確認されておらず、警察等関係機関と連携した調査は継続中です。

処分として常務取締役の報酬減額、および代表取締役頭取・代表取締役専務の報酬自主返納(各30%・1カ月)が実施されました。

  • 2026年6月3日、阿波銀行が4月3日公表の不正アクセス事案の続報を発表。調査結果・再発防止策・役員処分を報告
  • 直接原因:何者かがID・パスワード等を不正に利用し、外部からテスト環境にアクセス
  • 管理態勢上の不備①:テスト環境は目的完了後に廃止すべきだったが「AI活用のシステム高度化作業等」を理由に延命使用されていた
  • 管理態勢上の不備②:テスト環境に保管していた顧客データは開発完了後に速やかに消去すべきだったが消去されていなかった
  • 管理態勢上の不備③:テスト環境において不正アクセスを防止する仕組みが十分に機能していなかった
  • 現時点でさらなる情報漏えい・拡散・二次被害は確認されていない。警察等関係機関との連携調査は継続中
  • 役員処分:三河広明 常務取締役(報酬月額30%・1カ月)、関係職員(行内規程に基づく処分)、代表取締役頭取・専務(各30%・1カ月の報酬自主返納)

第一報(4月3日)の概要—続報理解のための整理

2026年4月3日の第一報で確認された事実は以下です、

2026年3月24日、外部のセキュリティ会社から「同行の情報が漏えいしている可能性がある」との連絡を受けて調査を開始。3月25日夜に漏えい情報が同行のものと確認できたため、テスト環境へのアクセスを遮断しました。

漏えいが確認された件数はのべ27,745件で、内訳は以下のとおりです。

  • 2024年10月時点の法人インターネットバンキング契約先情報10,872件(氏名・会社名・登録メールアドレス)
  • 2021年3月31日時点の株主情報11,122件(氏名・住所・株主番号・保有株式数、うち5,271件は配当金受取預貯金口座番号含む)
  • その他顧客・関係先情報5,751件(うち127件は預金・貸出金等の取引情報含む)です。暗証番号・パスワードは含まれていません。

調査で判明した3つの管理態勢上の不備

今回の続報で新たに公開された最重要情報は、直接原因(ID・パスワードの不正利用)だけでなく、それを可能にした行内の管理態勢上の不備3点が明示されたことです。

不備①:目的完了後のテスト環境の廃止漏れ——AI活用作業での延命が問題視

続報では「本件テスト環境は、システム開発やテスト等の目的が完了した時点で廃止するべきであったが、その後も、AI活用のシステム高度化作業等のために利用されていた」と明記されています。

本来は一時的なシステム開発・テスト用途として設けられた環境が、「AI活用のシステム高度化作業等」という新たな目的を理由に存続し続けていました。

こうした「目的の置き換えによるシステムの延命」は、テスト環境特有の管理問題です。

本番環境と比較してセキュリティ管理が緩く設定されがちなテスト環境が、業務上の利便性から意図せず長期利用され、管理の死角になるというパターンは多くの組織で見られます。

AIシステムの導入・高度化という正当な業務目的が、テスト環境の継続利用を正当化する口実になったとも読み取れ、AI活用推進と情報セキュリティ管理の両立という観点で重要な教訓を示しています。

不備②:開発完了後の顧客データ消去未実施

「本件テスト環境に保管していたお客さまのデータ等については、システム開発等が完了した後、速やかに消去すべきであったが、完了後も消去できていなかった」と明記されています。

開発・テスト工程では実際の顧客データを使う場合があります

※本来は匿名化・マスキング処理をした上で使用すべきですが・・・

問題はその後の処理で、開発目的が完了した後に残留したデータがそのまま放置されていた点です。

この「データライフサイクル管理の不備」は今回の被害を直接的に拡大させた要因です。テスト完了後のデータ消去を組織的なプロセスとして義務付けていなかったことが、本来漏えいしなかったはずの27,745件の情報を危険にさらしました。

不備③:テスト環境における不正アクセス防止機能の不十分な機能

「本件テスト環境において、不正なアクセスを防止する仕組みが十分機能していなかった」とされています。

具体的な機能の詳細は公表されていませんが、IPアドレス制限・多要素認証(MFA)・ネットワークセグメンテーション・ログ監視のいずれか、あるいは複数の対策が不十分だったと推測されます。テスト環境はしばしば「どうせ本番ではないから」という意識から、本番環境に適用されるセキュリティ基準が適用されないケースがあります。今回もその典型的なパターンに該当した可能性があります。

今後の再発防止策

続報によれば、以下の再発防止策が講じられます。

本件テスト環境については警察による捜査終了後、速やかに廃止されます。また、行内の全ての情報システムについて見直しを行い、リスクの重要度・緊急度に応じて最新のセキュリティ対策を計画的に実施するとしています。これらの再発防止策の実効性についても継続的に検証し、必要に応じて見直しを行うとしています。

関係役員・職員の処分—頭取・専務も自主返納

今回の続報で注目されるのが、代表取締役レベルを含む役員処分の明確化です。

処分として三河広明 常務取締役が報酬月額の30%・1カ月の減額処分を受けました。関係した職員についても行内規程に基づく厳正な処分が実施されています。

加えて、代表取締役頭取の福永丈久氏と代表取締役専務の山下真弘氏が各々、報酬月額の30%・1カ月の自主返納を行いました。自主返納は強制的な処分ではなく、経営トップが自発的に責任を示すものです。代表取締役2名を含む3名の役員が報酬の一部を返納するという対応は、金融機関としての説明責任と信頼回復への強い意志を示しています。

「AI活用作業でのテスト環境延命」が示すセキュリティ上の教訓

今回の続報で特に情報システム担当者が注目すべきは、テスト環境の延命理由として「AI活用のシステム高度化作業等」が明示されていた点です。

情報システム担当者が確認すべき対応として、自組織のテスト環境・開発環境・評価環境のインベントリを棚卸しし、「目的が完了しているにもかかわらず稼働し続けている環境」がないかを確認することが求められます。

またAI導入・評価目的で設けた一時的な環境については、目的完了後の廃止とデータ消去をプロセスとして明文化する必要があります。さらに、テスト環境であっても本番同等のネットワーク制御・認証管理・ログ監視を適用する「テスト環境のセキュリティ基準の本番化」が再発防止の核心です。

FAQ

Q. 第一報から続報まで2か月かかった理由は何ですか? A. 続報では「警察等の関係機関と連携しながら、漏えいに至った経路や不正利用に関する調査を継続している」と説明されています。犯罪捜査に関わる事案では、捜査機関との調整や証拠保全の観点から調査結果の公表に時間を要するケースがあります。また、行内の全情報システムの見直しや再発防止策の策定にも一定の時間が必要です。

Q. 「AI活用のシステム高度化作業」のためにテスト環境が延命していたとのことですが、AI関連のリスクに特別な対策が必要ですか? A. AI関連プロジェクトに特有のリスクというより、「新しいビジネス目的が既存の環境を延命させる」という汎用的なパターンの一例です。ただし、AI開発・評価環境では実際の顧客データをトレーニングデータとして使用するケースもあり、個人情報保護の観点からも適切なデータガバナンスが求められます。AI関連プロジェクトの計画段階から、環境の廃止条件とデータ消去基準を明文化しておくことが重要です。

Q. 二次被害がないとのことですが、漏えいした個人情報の悪用リスクはなくなりましたか? A. 現時点で二次被害が確認されていないことと、将来の悪用リスクがなくなることは別問題です。漏えいした法人インターネットバンキングの登録メールアドレスを使った標的型フィッシング攻撃や、株主情報を使った詐欺的な勧誘は、漏えいから数か月・数年後に試みられる可能性があります。該当の可能性がある方は、阿波銀行を名乗る不審な電話・メール・郵便物には引き続き注意が必要です。

Q. テスト環境が本番環境と「切り離されている」と第一報で説明されていましたが、それでも情報が漏えいしたのはなぜですか? A. 本番の取引システムとは別環境であることは事実で、それゆえ各種取引への直接的な影響はありませんでした。ただし「切り離されている」はあくまで本番取引への影響という意味であり、テスト環境そのものへの外部からのアクセスを防ぐという意味ではありませんでした。実際の顧客データがテスト環境に存在し、かつ外部からのアクセス防止機能が十分でなかったため、情報漏えいが発生しました。

参考情報

関連記事

いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 マネーフォワードの不正アクセス本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定 Microsoft Defender のゼロデイ 脆弱性3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825)Microsoft Defender のゼロデイ 脆弱性 3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825) アルティウスリンク、足立区統合電話センターの情報持ち出し事案を続報アルティウスリンク、足立区統合電話センターの情報持ち出し事案を続報 阿波銀行、テスト環境へ不正アクセス 2万7745件の個人情報漏洩の恐れ阿波銀行、テスト環境へ不正アクセス 2万7745件の個人情報漏洩の恐れ Default ThumbnailVeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849) サインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なしサインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なし イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れイエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ アドバンテスト、サイバーセキュリティインシデント続報を公表-業務は現状問題なく稼働アドバンテスト、サイバーセキュリティインシデント続報を公表-業務は現状問題なく稼働