海外貨物検査、契約する有機JAS認証審査員がサポート詐欺の被害-貸与PCから個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

海外貨物検査、契約する有機JAS認証審査員がサポート詐欺の被害-貸与PCから個人情報漏洩の恐れ

海外貨物検査株式会社(OMIC)は2026年7月14日、同社と契約する有機JAS認証審査員が「サポート詐欺」の被害に遭い、貸与していたPCから顧客の個人情報が外部に漏洩したおそれがあると公表しました。当該PCは社内ネットワークから独立した単独環境だったため、被害はこの端末内にとどまり社内システムへの影響はないとしていますが、氏名は最大約1,000件、職歴情報を含む機微な情報も対象に含まれています。

サマリー

  • 海外貨物検査株式会社(OMIC)は2026年7月14日、同社と契約する有機JAS認証審査員がサポート詐欺の被害に遭い、貸与していたPCから顧客の個人情報が外部に漏洩したおそれがあると公表した
  • 発生は2026年6月13日、当該審査員が自宅でインターネットを閲覧中、画面上にセキュリティ警告が表示され、指示に従って操作した結果、悪意ある第三者にPCを遠隔操作される状態になった
  • 当該PCは社内ネットワークに接続しない単独環境だったため、被害は当該端末のみにとどまり、OMICの社内システムへの影響はないとしている
  • 漏洩した可能性がある情報は、氏名約1,000件、住所4件、生年月日6件、職歴(有機JAS担当者経歴書に記載の内容)115件、電話番号10件、メールアドレス25件
  • 外部専門調査機関による調査の結果、本稿執筆時点で情報の不正利用等の事実は確認されていないが、漏洩した氏名・職歴情報を悪用し、OMICや関連企業を装った標的型メール・電話等が送られる可能性を完全には否定できないとしている
  • OMICは発覚後直ちに該当PCのネットワーク遮断を実施し、個人情報保護委員会への報告および管轄警察署への相談を行った。外部専門機関の協力を得てダークウェブサイトの調査を継続するとともに、システムのセキュリティ対策強化、全従業員および契約審査員へのセキュリティ教育徹底を再発防止策として掲げている
  • 原因についてOMICは、悪意あるWebサイトへのアクセスをシステム的に制限する仕組みの不十分さに加え、最新のサイバー脅威に対する社内のセキュリティ教育やインシデント発生時のルール徹底がされていなかったという、会社全体の管理体制の不備があったと説明している
項目 内容
公表日 2026年7月14日
発生日 2026年6月13日
被害者 OMICと契約する有機JAS認証審査員(自宅PC)
手口 サポート詐欺(偽のセキュリティ警告→遠隔操作)
影響範囲 当該PCのみ、社内ネットワーク・社内システムへの影響なし
漏えいの可能性がある情報 氏名(約1,000件)、住所(4件)、生年月日(6件)、職歴(115件)、電話番号(10件)、メールアドレス(25件)
不正利用の有無 現時点で確認されていない
個人情報保護委員会への報告 実施済み
警察への相談 管轄警察署へ相談済み

何が起きたか

OMICの発表によれば、2026年6月13日、同社と契約する有機JAS認証審査員が自宅でインターネットを閲覧していたところ、画面上にセキュリティ警告が表示されました。この警告画面の指示に従って操作を行った結果、悪意のある第三者にPCを遠隔操作される状態となり、いわゆる「サポート詐欺」の被害に遭いました。この結果、PC内に保存されていた顧客の情報が外部に流出した可能性が生じています。OMICは、当該PCが社内ネットワークに接続しない単独の環境であったため、被害は本端末のみにとどまり、社内システム等への影響は一切ないと説明しています。

漏洩した可能性がある個人情報の項目および件数は、氏名が約1,000件、住所が4件、生年月日が6件、有機JAS担当者経歴書に記載された職歴情報が115件、電話番号が10件、メールアドレスが25件です。項目によって件数に大きな差があることから、審査員が保有していたデータの範囲・粒度が顧客ごとに異なっていたことがうかがえます。特に職歴情報(経歴書の記載内容)が含まれている点は、単なる連絡先情報の漏洩にとどまらず、対象者の経歴を悪用した、より精度の高いなりすまし・標的型攻撃に利用されるリスクを高める要素です。

原因と二次被害の可能性

OMICは今回の事態を招いた背景として、悪意あるWebサイトへのアクセスをシステム的に制限する仕組みが不十分だったことに加え、最新のサイバー脅威に対する社内のセキュリティ教育や、インシデント発生時のルールの徹底がされていなかったという、会社全体の管理体制の不備があったと説明しています。

個人の不注意だけに帰責するのではなく、組織としての備えの不足を明確に認めている点は、今回の発表の特徴です。

外部の専門調査機関を通じた調査の結果、本稿執筆時点で本件に関する情報の不正利用等の事実は確認されていません。しかし、漏洩した氏名や職歴情報を悪用し、OMICや関連企業を装った不審な連絡(標的型メールや電話等)が届く可能性を完全には否定できないとして、心当たりのない不審な連絡には十分注意するよう呼びかけています。

情報システム部門への示唆

今回の事案は、当サイトで継続して報じてきた、いわゆる「サポート詐欺」を起点とした情報漏洩事案の一つです。松山大学藤田医科大学病院名古屋大学等、自宅や個人所有端末での業務データ保存中にサポート詐欺の被害に遭い情報が流出するケースは、業種・組織を問わず繰り返し発生しています。

特に今回の事案は、被害者が正社員ではなく外部の契約審査員である点で、東京都の委託事業における委託先従業員がサポート詐欺の被害に遭った事案とも共通する構造を持っています。正社員以外の委託先・契約者に業務用データを取り扱わせる場合、セキュリティ教育の対象を自社の正社員に限定せず、契約先の個人事業主・委託先スタッフにまで広げて実施する必要性を、あらためて示す事例です。

自組織で外部の契約者・審査員・委託先スタッフに業務用PCを貸与し機密情報を扱わせている場合は、貸与PCのセキュリティ設定(不審なWebサイトへのアクセス制限、セキュリティソフトの導入状況)を定期的に点検するとともに、サポート詐欺の典型的な手口(偽のウイルス警告画面が表示された際は記載された電話番号に絶対に連絡せず、強制終了してネットワークから切断すること)を、契約者・委託先を含む全ての業務用PC利用者に周知徹底することをお勧めします。あわせて、今回のOMICのように「当該PCが社内ネットワークから独立していたため被害が拡大しなかった」という事実は、業務用端末のネットワーク分離が被害の局所化に有効であることを示しており、外部委託先へ機密情報を含む端末を貸与する際のネットワーク設計の参考になります。

出典