ハッカーが人事院・公文・auへのサイバー攻撃を主張も、AI生成の偽の個人情報で主張自体虚偽|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月12日更新日時: 2026年06月12日

2026年6月1日、地下フォーラムにVIP会員「Rupert」と名乗る脅威アクターが、人事院（jinji.go.jp）742万件・公文教育研究会（kumon.ne.jp）612万件・au（my.au.com）243万件の個人情報を販売すると主張する投稿を3件同時に公開しました。

これらが本物であった場合——国家公務員の給与・銀行口座を含む人事情報、子どもの学習記録と保護者個人情報、通信会社の暗号化パスワードを含む顧客情報が一度に市場に出回るという事態です。

しかし、セキュリティ対策Labで投稿に添付されたサンプルCSVファイルの技術的分析を実施したところ、データはSalesforceのデモ用CRMテンプレートをベースにAIが生成した偽造品である可能性が極めて高いと判断しました。

現時点でいずれの機関・企業からも不正アクセスや情報漏えいに関する公式発表はなく、Rupertの主張を裏付ける独立した証拠も確認されていません。本記事では偽データ判定の技術的根拠を詳細に解説し、こうした偽装犯行声明が組織にもたらすリスクと対応策を解説します。

サマリー

2026年6月1日、地下フォーラムVIPメンバー「Rupert」が人事院・公文・auの3機関を標的とするデータ販売投稿を同時公開。合計107万件超と主張し、価格は$900〜$1,200
添付サンプルCSVを技術的に解析した結果、3件すべてにSalesforceのCRMデモデータを流用したAI生成の特徴が複数確認された
公文サンプルの「Phone_Home」列には電話番号ではなく「ことり塾のチラシ」などの入塾経路テキストが入力されており、列と内容の不一致がある
auサンプルの「EncryptedPassword」フィールドは「0314」「aaaa」「testadmin」「testuser」という明らかなデモ用プレースホルダー値
三機関すべてにおいて2026年の不正アクセスまたは情報漏えいを示す公式発表は確認されず、Rupertの主張は現時点で偽装と評価される
当サイト既報のJAXA偽装犯行声明事案と同様に、「ハッキングの成果に見せかけた偽証拠の提示」という手口が日本の組織を標的としたケースで繰り返し確認されている

1 投稿の概要と販売内容
2 技術的解析
3 偽装犯行声明がもたらすリスク—なぜ「偽の漏えい報告」が問題なのか
4 偽装データ販売の見分け方—情報システム担当者が使える判定チェックリスト
5 FAQ
6 参考情報

投稿の概要と販売内容

地下フォーラムに「Rupert」と名乗るVIP会員（参加：2025年11月、投稿数90件・スレッド数90件）が2026年6月1日、以下の3件の「データベース販売」投稿を同時に公開しました。

jinji.go.jp（人事院）742k Japan：Contacts（連絡先）・Payroll Records（給与記録）・Department Assignments（部署配属）の3セクションを含む人事情報として742,000件を$900で販売すると主張。氏名・生年月日・住所・個人電話番号・メールアドレス・給与額・銀行口座番号・年金番号・健康保険IDなどを含むとしています。

kumon.ne.jp（公文教育研究会）612k Japan：Contacts・Student Enrollments（入会記録）・Support Ticketsの3セクションを含む顧客情報として612,000件を$1,100で販売すると主張。氏名・生年月日・電話番号・住所・メールアドレスなどを含むとしています。

ハッカーが人事院・公文・auへのサイバー攻撃を主張も、AI生成の偽の個人情報で主張自体虚偽

my.au.com（au）243k Japan：Contacts・Serviceorders（サービス注文）・Supportticketsの3セクションを含む顧客情報として243,000件を$1,200で販売すると主張。氏名・電話番号・メールアドレス・暗号化パスワード・口座情報などを含むとしています。

3件はすべて同一の投稿テンプレートが使用されており、連絡先にはTelegramの「@funternetwork」が共通して指定されています。投稿には各データのサンプルファイルへのダウンロードリンクが添付されていました。

技術的解析

当サイトは添付サンプルファイルを入手し技術的解析を実施しました。以下の根拠から、データはAIツール（大規模言語モデル）がSalesforceのCRMデモデータテンプレートをベースに生成した偽造品である可能性が極めて高いと判断しました。

KUMON側は特に、列ズレまたは後加工ミスっぽい痕跡があります。

たとえば、Phone_Home に本来電話番号が入るはずなのに、紹介経路のような日本語テキストが入っています。一方で、Contact_Type に電話番号らしき値が入っている行があります。これは、本物の業務DBから自然に出てきたというより、元データを別のテンプレートに無理やり当て込んだように見えます。

また、Email_Address、Notes、Emergency_Contact_Name、Emergency_Contact_Phone が全件空欄なのに、Sales_Region、Account_Tier、Loyalty_Level、Segment などのCRM風の列だけきれいに埋まっています。ここも、実運用DBというよりAI/Faker/テンプレート生成の匂いがします。

人事院はSource_System が全件 Salesforce、メールは個人のGmail風、Region_Code が住所の都道府県と合っていない行がありました。

政府職員の給与・雇用記録を名乗るデータとしては、かなり雑です。

さらに、投稿本文にある「Payroll Records」「Department Assignments」のサンプル本体が添付CSVにはなく、実際に見えているのはContactsだけです。にもかかわらず、投稿では給与・部署・税・年金・保険番号まであるように見せています。ここは典型的な販売用の盛り表現に見えます。

auサンプルのEncryptedPasswordフィールドには「testadmin」「testuser」という値です。実際のシステムが運用するパスワードはbcrypt・SHA-256等のハッシュ値として保存されており、この形式では絶対に「aaaa」「testadmin」にはなりません。これらは開発・デモ環境で使用されるテスト用ダミー値であり、本番データとして成立しません。さらに電話番号フィールドに「123456789」が2件、「0750750750」が2件という重複も確認されており、実在する顧客データの特徴と一致しません。

偽装犯行声明がもたらすリスク—なぜ「偽の漏えい報告」が問題なのか

今回のRupertの投稿が偽造データであったとしても、組織と個人に対して複数の実害が生じる可能性があります。

まず組織側のインシデント対応コストです。地下フォーラムへのデータ出品が報道・拡散された場合、組織は偽データであることを確認するための調査・公式コメント・問い合わせ対応を強いられます。これは内部リソースを消費するとともに、風評被害を招くリスクがあります。

次に社会工学攻撃への転用です。偽データであっても、投稿に列挙された「Salesforce風のフィールド名とそれらしい日本人名」の組み合わせは、フィッシングメールのルアー文言や偽装した「通知」の素材として二次利用される可能性があります。特に「公務員の給与情報が流出した」「Kumonの生徒情報が販売されている」という情報が独り歩きした場合、不安を煽る詐欺の口実になり得ます。

また、こうした手口は組織への恐喝に使われるケースも記録されています。脅威アクターが当該組織に直接連絡し「データを持っている、口止め料を払わなければ公開する」と交渉するパターンです。データが偽造であっても、組織が真偽を確認するまでの時間的空白を悪用されます。

この「偽装犯行声明」という手口は今回が初めてではありません。当サイトが2026年3月に報じたJAXA偽装事案では、サイバー犯罪グループ「ALP-001」が「JAXAから6.9TBのデータを窃取した」と主張しましたが、提示された「証拠」はインターネット上で誰でも入手できる気象衛星の公開データを大量ダウンロードして偽装したものと判明しています。「本物らしく見える証拠を提示してパニックを誘発する」という共通の戦術が、日本の官公庁・公共機関・大企業を標的に繰り返し用いられていることが確認されます。

偽装データ販売の見分け方—情報システム担当者が使える判定チェックリスト

今回のRupertの投稿のように、AIで生成したデータを本物の漏えいデータとして販売する手口は増加傾向にあります。自組織についての犯行声明や販売主張を発見した際、以下の観点で真偽を初期評価することを推奨します。

サンプルデータの構造的整合性の確認：提供サンプルのフィールド名・データ型・値が自組織の実際のシステム構成と一致するか確認します。今回のように「政府機関のデータにSalesforceフィールド」が存在することは即座に偽造の示唆となります。

プレースホルダー値の有無：「test」「admin」「aaaa」「0000」など開発・デモ環境で一般的に使用されるテスト値がパスワードや電話番号フィールドに含まれていないかを確認します。

重複・均一値のパターン：全行が同一のCreated_By（例：system_admin）、同一のContact_Owner（例：team_kumon）、複数行の重複する電話番号や生年月日は、AIが反復的にデータを生成した特徴です。

メールドメインの妥当性：対象組織が政府機関・大企業であれば、業務メールアドレスのドメインはその組織のものであるべきです。全件@gmail.comや汎用フリーメールは即座に疑うべき指標です。

主張件数とサンプルサイズの乖離：数十万件を主張しながら、サンプルが一桁〜数十行しか提供されない場合は生成コストを抑えるための意図的な絞り込みである可能性があります。

「証拠」が公開情報から取得可能かどうかの確認：JAXAの偽装事案では気象衛星の公開データが「機密漏えい」として提示されました。今回のRupertの投稿でも「ことり塾のチラシ」という特定塾の情報が公文のCRMデータとして混入しており、別ソースの公開情報を組み合わせた痕跡が残っています。提示された「証拠」がWeb上で取得可能な公開情報と一致しないかを確認することは、偽装の早期検知に有効です。

FAQ

Q. 今回のデータは本物ではないと断言できますか？ A. 「偽造である可能性が極めて高い」と判断しましたが、断定はできません。サンプルデータには複数の技術的矛盾が含まれており、いずれの機関からも不正アクセスの公式発表がありません。これらを総合すると偽造の蓋然性は高いと評価されますが、各機関による独自の調査・確認が最終的な判断に必要です。

Q. 「Rupert」はどのような脅威アクターですか？ A. 当該フォーラムのプロフィール情報から、VIP会員、2025年11月参加、投稿数とスレッド数が90件ずつで完全一致という特徴が確認されています。投稿数とスレッド数の完全一致は自己作成スレッドへの投稿中心という活動パターンを示唆します。いずれの国家系APTとの具体的な関連付けを示す証拠は現時点で確認されていません。

Q. 公文は2024年に実際に情報漏えい事案がありましたが、今回はその続きですか？ A. 2024年の公文の事案は委託先イセトーへのランサムウェア攻撃に起因し、約75万人分の学習記録（会員番号、教材名、教室名）が漏えいしたものです。今回のRupert主張のサンプルデータはCRMスタイルの顧客管理情報（Account_Tier、Sales_Region等）であり、構造が根本的に異なります。脅威アクターが既知の漏えい事案の知名度を利用して偽装信頼性を高めるパターンは、JAXA偽装事案でも確認されたように過去にも複数のケースで観測されています。

Q. 自組織について類似の投稿を発見した場合、最初に何をすべきですか？ A. まずサンプルデータを入手できる場合は自組織の実際のシステム・データ構造と比較してください。次に、セキュリティ監視チームに知らせてインフラへの不審なアクセスログを確認します。対外的な声明は調査結果が出るまで発表を急がず、内容を確認したうえで公式見解をまとめることが推奨されます。また、個人情報保護委員会への速報義務（漏えいが疑われる場合3〜5日以内）を念頭に置きながら対応を進めてください。