調査業務を手がける株式会社審調社(本社・東京都品川区)は2025年12月5日、6月に発生した自社ネットワークに対するサイバー攻撃・ランサムウェア被害について、被害内容と原因、再発防止策を取りまとめた最終報告を公表しました。
目次
事案の概要と発覚後の対応
審調社によりますと、2025年6月27日に同社ネットワークが不正アクセスを受け、端末およびサーバーに保存されていたファイルの一部がランサムウェアにより暗号化されるとともに、外部に窃取される被害が発生しました。
2025年7月11日の第1報公表以降、7月18日時点で生命保険会社、損害保険会社、少額短期保険会社、共済など少なくとも34社が、自社に関係する影響についてリリースを出しています。
漏えいまたは漏えいのおそれがある個人情報
最終報告では、委託元から受託した調査データ、業務委託者・採用応募者等の情報、従業員情報について、漏えいまたは漏えいのおそれがある件数が整理されています。件数には同一人物が複数カウントされている可能性も含まれます。
委託元から受けた調査に関する情報
保険会社や共済など委託元から受託した調査データに含まれる個人情報について、次のような漏えいが確認されています。
-
番号と氏名等および要配慮個人情報(医療情報)が含まれるもの
-
約1,200件
-
-
番号と氏名等のみ(要配慮個人情報を含まないもの)
-
約12,500件
-
-
番号のみ(氏名等・要配慮個人情報を含まないもの)
-
約89,000件
-
ここでいう番号には、委託元が管理する事案管理番号や保険・共済契約の証券番号、審調社側で管理する案件番号のうちいずれかひとつ以上が含まれます。番号のみの場合は、委託元や代理店、審調社の業務システムなどで照合しない限り、個人を特定できないと説明しています。
氏名等には、氏名、生年月日、性別、住所、電話番号、メールアドレスなどのうちいずれかひとつ以上が含まれますが、全ての項目が一括して漏えいしたわけではありません。要配慮個人情報として扱われるのは医療情報のみであり、マイナンバーやクレジットカード番号など財産的被害に直結し得る情報は同社では保有していなかったとしています。
このほか、次のような漏えいのおそれのある情報も確認されています。
-
番号および氏名(要配慮個人情報なし)
-
約30件
-
-
番号のみ(氏名・要配慮個人情報なし)
-
約1,000件
-
これらは、侵入した第三者により作成され閲覧されたおそれのあるフォルダ名やファイル名のリストに含まれていたものであり、調査の結果、ファイル内容そのものは閲覧されていないことが確認されています。
ランサムウェアグループ Kawa4096 との関連性
本件については、2025年6月26日にランサムウェアグループ Kawa4096 がダークウェブ上のリークサイトで「ある損害保険会社」へのサイバー攻撃と不正アクセスを行ったと主張していた事実があります。
リークサイトに掲載されたサンプルには、事故調査レポート、社内ツールの利用マニュアル、契約書関連情報、ナンバープレート情報を含む車両画像、研修資料などが含まれていたとされ、Kawa4096 は合計32GBのデータを窃取したと主張しています。
ただし、審調社は今回の最終報告においても特定のランサムウェアグループ名には言及しておらず、攻撃主体について公式な認定は行っていません。攻撃グループ側の主張やリークサイト上の情報は、第三者が発信したものとして慎重に扱う必要があります。
サプライチェーンリスクとしての位置づけ
審調社は、保険会社や共済などから事故調査・査定業務を受託する立場にあり、今回のサイバー攻撃は、委託元の顧客情報が委託先を通じて影響を受けるサプライチェーン型インシデントの一例となっています。
2024年には、東京損保鑑定株式会社への不正アクセス・ランサムウェア被害や、印刷・DM業務を担うイセトーへのランサムウェア攻撃を契機に、金融機関や官公庁など複数組織の個人情報が漏えいする事例が発生しています。
今回の審調社の事案も、業務委託先のセキュリティリスクが委託元の顧客情報に直接影響しうることを示しており、保険・金融分野では、委託先を含めた一体的なセキュリティガバナンスの構築と、委託先管理の強化が求められている状況です。








