埼玉県、委託先の松永建設のランサムウェアによるサイバー攻撃で情報漏洩の可能性

埼玉県は2025年4月23日、県が発注した複数の公共工事を請け負っている株式会社松永建設が、外部からのサイバー攻撃を受けてランサムウェアによる被害に遭ったと発表しました。現在、公共工事関連のデータが外部に流出した可能性があるとして、県と事業者が協力して影響の調査と対応を進めています。

被害の概要：ランサムウェアによりサーバーが暗号化

松永建設は、2025年4月10日、第三者によるサイバー攻撃を受け、社内のサーバーや内部ファイルが暗号化される被害を確認。現在は、警察および外部の専門家の支援を受けながら、復旧に向けた調査と対応を進めているとのことです。

埼玉県が同社から受けた報告によれば、現時点では明確な情報流出の事実は確認されていませんが、保管されていた業務関連データが外部に流出した可能性は否定できないとされています。

攻撃を受けた事業者：松永建設とは

対象となった松永建設は、埼玉県内で数多くの公共工事を請け負っている総合建設業者で、県内インフラ整備において中核的な役割を果たしてきました。

被害の可能性がある県発注工事一覧

今回の被害に関連し、松永建設が受注している以下の7件の工事および業務委託案件について、業務データが影響を受けた可能性があるとされています。

1. 河川施設震災対策工事（飯盛川排水機場耐震対策工）

2. 橋りょう修繕工事（羽生跨線橋耐震補強工その３）

3. 交差点改良工事（越谷管轄）

4. 河川工事関連（D475号橋仮設構台設置工）

5. 弁室点検業務（庄和浄水場）

6. 高度浄水処理施設建設工事（大久保浄水場）

7. 配管布設工事（大久保浄水場内 西部系2系1ブロック）

これらの工事は、いずれも県の土木・水道インフラに関わるもので、設計・施工・工程管理などのデータが保持されていたとみられます。

 埼玉県の対応と再発防止の姿勢

埼玉県は松永建設に対し、

• 被害範囲と原因の早急な特定

• 情報流出の有無の確認

• 適切な再発防止策の策定と報告

を求めており、今後の経過に応じて随時情報公開を行うとしています。

また、同県土整備部建設管理課をはじめ、各工事を所管する県土整備事務所・浄水場管理課などが連携し、情報共有と被害対応にあたる体制が整えられています。

情報システム部門が注視すべき点

今回の事案は、公共団体が発注した工事におけるサプライチェーン攻撃に波及する可能性もあります。受注事業者のセキュリティ対策が不十分な場合、発注元である行政機関にも波及的なリスクが発生します。

自治体や大規模インフラを扱う組織では、次のような管理体制の再点検が必要です。

• 委託・発注先への情報セキュリティ要件の明文化

• システム開発・設計書の持ち出し制限

• 業務委託契約にインシデント発生時の報告義務や対策義務を含める

• 情報共有用ネットワークのアクセスログの監査