斎藤コロタイプ印刷の不正アクセスとサイバー攻撃による卒業アルバムに関わる個人情報漏洩のまとめ

2025年4月5日、卒業アルバムの制作を手掛ける斎藤コロタイプ印刷株式会社（本社：仙台市）が、ランサムウェアによるサイバー攻撃を受けたことによる個人情報流出の可能性を公表しました。この攻撃により、全国の小中学校を中心に最大で約17万3,000人分の個人情報が漏えいしたおそれがあります。

本記事では、斎藤コロタイプ印刷の公式リリースおよび各自治体の報告をもとに、インシデントの経緯と被害範囲、原因、そして情報システム部門として学ぶべき教訓を詳しく解説します。

被害の概要：制作会社のシステムに不正侵入

本件は、2024年7月頃に斎藤コロタイプ印刷の制作工場ネットワークに異常が発生したことに端を発します。専門業者によるデジタルフォレンジック調査により、外部からの不正侵入型マルウェア「ランサムウェア」による攻撃であることが特定されました。

ランサムウェアは、感染システム内のデータを暗号化し、解除のための「複合鍵（パスワード）」と引き換えに金銭を要求するサイバー犯罪手法です。今回は、卒業・卒園アルバム制作用サーバに格納されていた2023年度のデータのうち、約2.5％のファイルが暗号化被害を受けたことが確認されています。

なお、情報の不正な外部送信や閲覧の確証はないとされているものの、「第三者が閲覧できた可能性が否定できない」として、個人情報漏えいの可能性がある事故と判断されています。

被害範囲：全国で拡大　17万人超に影響の可能性

同社が受託した全国約2,000校分のデータのうち最大17万3,000人に影響した可能性があるとされており、

報道および自治体の発表により、以下のように被害が広がっています。

 札幌市

• 市内100校

• 卒業生・教職員計9,486人の氏名・顔写真が流出の可能性

千葉市

• 市立8校（小学校2校・中学校5校・養護学校1校）

• 計1,254人の氏名・顔写真など

東京都板橋区

• 区立小学校13校

• 2023年度卒業生・教職員計1,482人

東京都練馬区

• 区立小学校14校

• 2020～2023年度の卒業生計1,681人

東京都福生市

• 市立小学校3校

• 2022・2023年度卒業生・教職員計約350人

東京都杉並区

• 区立小学校1校

• 令和5（2023）年度卒業生

攻撃経路：VPNの不正利用による侵入

調査により、外部からのVPN（仮想プライベートネットワーク）機器を通じた不正アクセスが侵入経路であると特定されています。攻撃者は以下のような経路をたどっていたと見られます。

1. VPN装置の認証情報（パスワードなど）漏えい、または装置の脆弱性を悪用

2. 「業務系ネットワーク」への侵入

3. 共通認証サーバ（Active Directory）を経由し「制作系ネットワーク」へ不正アクセス

4. 卒業アルバム制作サーバへの感染と暗号化攻撃の実行

イシクラでも発生、卒業アルバム制作企業が再び標的に

同様のインシデントは、2024年に株式会社イシクラ（本社：福島県郡山市）にも発生しており、卒業アルバム制作を担う印刷会社がランサムウェア攻撃の標的になっている構造的な問題が浮き彫りになっています。

イシクラでは、2024年2月にランサムウェアによる不正アクセスが確認され、保有していた児童・生徒、教職員に関する氏名・写真など最大約7万人分の個人情報が外部に流出した可能性があると公表されました。

情報システム部門が学ぶべきポイント

本件は、VPN経由の不正侵入によるランサムウェア被害という典型的な攻撃パターンであり、以下の観点での教訓が得られます。

VPNへの過信は禁物

VPN機器は「安全な入口」である一方、適切な認証制御や脆弱性管理が不十分であれば、むしろ脅威となることを示しています。特に中小企業や地方の印刷業など、サイバーセキュリティ体制が弱い業界では格好の標的となり得ます。

認証基盤（ADサーバ）からの波及

1つの認証サーバを業務・制作の両系統で共有していたことが被害の拡大を招いた可能性があります。アクセス経路の分離やゼロトラストネットワークの導入が今後求められます。

フォレンジック調査と対応の重要性

本件のように数か月にわたり慎重な調査と対策が進められたケースは、被害の把握精度と信頼性ある報告に直結します。インシデント対応では、即時の遮断と併せて専門機関による分析の導入が必須です。