フジクラ、2024年の不正アクセスで個人情報漏洩の恐れ

2025年5月7日、株式会社フジクラは、自社ネットワークが不正アクセスを受けたことに伴い、外部に個人情報が漏えいした可能性があるとして、個人情報保護法に基づく通知を公開しました。調査の結果、取引先関係者や従業員など複数の個人に関する情報が保存されたサーバが標的となっていたことが判明しています。

インシデントの概要

不正アクセスが確認されたのは、2024年7月2日。同社がネットワーク保守運用を委託していたNTTコミュニケーションズ株式会社が管理する保守・監視用VPN装置を経由し、外部からの不正アクセスが発生。これにより、佐倉事業所内の複数のサーバに外部からのアクセスとデータ流出の痕跡が認められました。

VPN装置の脆弱性が攻撃者に悪用され、サーバに保存されていたデータの一部が不正に取得された可能性があるとしています。

フォレンジック調査と発覚の経緯

フジクラは不正アクセス発覚後、即座に関係アカウントの無効化やパスワードリセット、ネットワーク機器の交換、認証の強化といった緊急対応を実施。さらに、外部セキュリティベンダーと連携してフォレンジック調査（専門的なデジタル証拠分析）を実施し、影響範囲の特定を進めました。

調査の結果、影響を受けたサーバには個人情報が保存されていた事実が判明し、漏えいのリスクが否定できないことから、対象者への通知に至りました。

漏えいの可能性がある情報の内容

漏えいが懸念されている個人情報には、以下のような情報が含まれます

• 氏名、住所、電話番号、メールアドレス

• 生年月日、性別などの属性情報

• 社外関係者（取引先・大学等）の連絡先情報

• グループ会社含む従業員・元従業員および家族の情報

• 一部の人事情報、インボイス番号、銀行口座番号（※暗証番号は含まず）

なお、クレジットカード情報やマイナンバー（個人番号）は含まれていなかったと報告されています。

生産活動への影響は無し

フジクラは、本件による生産活動への直接的な影響はなかったと発表。また、事業機密のような業務上の重要情報の流出も確認されていません。

不正利用・二次被害について

現時点では、流出したデータがダークウェブなどで公開された事実や、二次被害（なりすまし、詐欺等）の報告は確認されていません。ただし、不審なメールを受け取った場合や不正利用が疑われる場合は、速やかに専用窓口まで連絡するよう呼びかけられています。

委託先のセキュリティ管理を含む全社的な対策が急務

今回のインシデントは、外部委託業者の機器管理体制の脆弱性を突かれた事例であり、サプライチェーン上のセキュリティ管理の難しさと重要性を改めて浮き彫りにしました。

情報システム部門が取るべき主な対策は以下の通りです

• VPNや監視装置の設定・ファームウェアの定期確認とアップデート

• 外部委託先のISMSのポリシーやセキュリティポリシーの監査

• ログ監視・SIEMによる異常行動の検知強化

• ゼロトラスト・セグメント化の導入による被害範囲の局所化