YCC情報システム、ランサムウェアの被害 調査完了-外部専門機関が実質的な情報漏えいを裏付ける痕跡は確認されず

セキュリティニュース

投稿日時: 更新日時:

YCC情報システム、ランサムウェアの被害 調査完了-外部専門機関が実質的な情報漏えいを裏付ける痕跡は確認されず

株式会社YCC情報システム(山形市、以下「YCC社」)は2026年5月20日、2026年4月2日に発生したランサムウェア攻撃に関する「第五報」を公式ウェブサイトで公表しました。外部専門機関による調査が完了したことを受け、現時点での調査結果を報告するものです。

今回の報告で最も重要な点は2つあります。第一に、侵害経路が「ネットワーク機器の管理者アカウントに係る認証情報が攻撃者に推測または取得された」ことと判明したことです。第二に、外部専門機関が「実質的な情報漏えいが発生したことを裏付ける痕跡は確認されていない」と報告した一方で、「漏えいの可能性を完全に否定することはできない」としてYCC社が引き続き監視と調査を継続するとしている点です。

この記事のサマリー

  • インシデント発生日時:2026年4月2日午前6時50分頃からファイルの暗号化が開始。午前7時50分頃に攻撃者による脅迫文を確認。
  • 侵害経路(判明):ネットワーク機器の管理者アカウントに係る認証情報が、攻撃者による認証試行等により推測または取得され、当該認証情報を用いて内部ネットワークに侵入。
  • 影響範囲:ファイルサーバーが暗号化。メール等の情報系システムおよび業務用PCは別環境で運用されており影響を受けた事実は確認されていない
  • 情報漏えいの状況:取引先から受託・保管していた情報がファイルサーバーに存在し、攻撃者がアクセス可能な状態にあったことは確認。ただし「外部に送信された明確な痕跡」「ダークウェブ上の犯行声明・リーク情報」ともに確認されておらず、外部専門機関は「実質的な情報漏えいを裏付ける痕跡なし」と報告。
  • 同社の対応方針:「情報の外部公開または悪用の兆候は確認されていないものの、漏えいの可能性を完全に否定することはできない」として、引き続き監視体制および調査を継続。
  • 再発防止策:インターネット接続環境の全面的見直し・外部専門事業者を活用したネットワーク監視強化・データ管理の厳格化・役員を含む全社員のセキュリティ教育・訓練の継続実施。
  • 過去記事との関係第一報(4月3日)第四報(4月14日)サプライチェーン被害まとめに続く報告。

第一報からの経緯——サプライチェーン型ランサムウェア攻撃として山形を震撼

当サイトの4月の記事で詳報した通り、YCC社は山形新聞・山形放送グループのシステムインテグレーターとして、地方自治体・医療機関・民間企業のITシステムを幅広く手がける企業です。

2026年4月2日早朝、同社のファイルサーバーがランサムウェア攻撃を受け、保管していたデータへのアクセスが不能となりました。YCC社は4月3日に第一報を公表し、その後段階的に情報を開示してきました。4月14日の第四報では「取引先から受託・保管していた情報の一部について漏えいのおそれが否定できない」と発表。被害が判明した主な組織は以下の通りです。

  • 山形市:健康情報システム約50万件(氏名・住所・電話番号・保険者番号・検診日等)・人事給与システム約6,000件(マイナンバー含む)・児童相談システム2,520件など
  • 山形大学:8万件超の個人情報漏えいのおそれ
  • 山形県・山形交通・庄内町・高畠町・幸手市・山形新聞社・関東信越税理士国民健康保険組合等(9組織以上)

本件は、1社のシステムインテグレーターへの攻撃が、その委託元である複数の自治体・機関の個人情報を連鎖的に危険にさらす「サプライチェーン型ランサムウェア攻撃」の典型事例として注目を集めました。

第五報の詳細——原因・影響範囲・情報漏えいの状況

1. 攻撃の原因と侵入経路

外部専門機関による調査の結果、侵害経路が以下の通り判明しました。

ランサムウェアによるファイルの暗号化は2026年4月2日午前6時50分頃から開始されており、午前7時50分頃に攻撃者による脅迫文の存在を確認しています。

外部専門機関からは、「ネットワーク機器の管理者アカウントに係る認証情報が、攻撃者による認証試行等により推測または取得され、当該認証情報を用いて内部ネットワークに侵入されたことにより発生したものと推定される」との報告を受けたと公表されています。

この手法は「クレデンシャルブルートフォース攻撃(認証情報の総当たり・推測)」や「クレデンシャルスタッフィング(漏洩済み認証情報の使いまわし)」として知られる、ランサムウェア攻撃グループが頻繁に用いる典型的な初期侵入手法です。VPN・ファイアウォール等のネットワーク機器の管理者アカウントが標的となった可能性が高く、こうした機器のデフォルトパスワードの変更や多要素認証(MFA)の設定が改めて重要であることを示しています。

2. 影響範囲の確認と限定

ファイルサーバーがランサムウェア攻撃を受け、同サーバー内のファイルが暗号化されアクセス不能となりました。

一方で、メール等の情報系システムおよび業務用パソコンについては、今回被害を受けたネットワークとは別の環境で運用されており、現時点においてこれらが本事象により影響を受けた事実は確認されていないと説明されています。これはネットワークセグメンテーション(ネットワークの分離)が一定程度機能していたことを示しています。

3. 情報漏えいの状況——「痕跡なし」でも「完全否定できず」

情報漏えいについては、以下の複合的な評価が示されています。

漏えいリスクの存在として、ファイルサーバーのバックアップデータを調査した結果、取引先から受託・保管していた情報が保存されていたことを確認。攻撃者が内部ネットワークに侵入しファイルサーバーにアクセス可能な状態にあったことから、「対象ファイルに保存されていたこれらの情報にアクセスされた可能性を完全に否定することはできない」とYCC社は述べています。

実質的な漏えいを示す痕跡はなしとして、「情報が外部に送信された明確な痕跡は確認されていない」こと、「ダークウェブ調査の結果、本事象に関する犯行声明やリーク情報は確認されていない」ことを明示。外部専門機関からも「実質的な情報漏えいが発生したことを裏付ける痕跡は確認されていない」との報告を受けています。

YCC社は「現時点において情報の外部公開または悪用の兆候は確認されていないものの、漏えいの可能性を完全に否定することはできないことから、引き続き監視体制および調査を継続する」としています。

4. 再発防止策

今後の再発防止策として以下が公表されました。

インターネット接続環境の全面的見直しによる安全性向上を進めます。ネットワーク運用監視について外部専門事業者の活用を含めた見直しを行い監視体制を強化します。データ保管環境のセキュリティ対策とデータ授受に関する運用面の整備を実施しデータ管理を厳格化します。役員を含む全社員のセキュリティ教育・訓練を継続的に実施しセキュリティ意識の向上を図ります。

また、個人情報保護法その他関係法令に基づき、関係当局への報告を実施しており、その他必要な対応を進めているとも述べています。

本件が示す教訓——「ネットワーク機器の管理者アカウント」がランサムウェアの玄関口

今回判明した侵害経路「ネットワーク機器の管理者アカウントの認証情報が推測または取得された」は、日本国内で発生しているランサムウェア攻撃の多くに共通する典型的な初期侵入経路です。

IPA(情報処理推進機構)が公表する「情報セキュリティ10大脅威」でもランサムウェアは常に上位に位置しており、その侵入経路としてVPN機器・ファイアウォール・リモートデスクトップ(RDP)への認証情報を用いた不正ログインが筆頭に挙げられています。

本件から組織が学ぶべき具体的な対策として以下が挙げられます。

ネットワーク機器(VPN・ファイアウォール・スイッチ等)の管理者アカウントにはデフォルトパスワードを絶対に使用せず、強固なパスワードに変更してください。管理者アカウントには多要素認証(MFA)を必須とし、認証試行の異常(ブルートフォース攻撃)を検知するための監視を実装してください。ネットワークセグメンテーションを徹底し、ファイルサーバー・業務端末・メールシステムを別セグメントに分離することで、侵害の連鎖を防いでください。今回のYCC社のように受託している委託元組織のデータを自社のファイルサーバーに集中保管している場合は、そのリスクを改めて評価し、必要に応じてアクセス制御と暗号化の強化を検討してください。

参考情報(1次ソース)