東京都水道局の委託先ランサムウェア被害、約13万世帯情報流出の可能性──重要インフラのサプライチェーンリスクが顕在化

導入

東京都水道局の業務委託先企業がランサムウェア攻撃を受け、約13万世帯分の個人情報が流出した可能性があることが明らかになりました。

水道局本体ではなく委託先企業が標的となったことで、重要インフラのサプライチェーンリスクが改めて浮き彫りになっています。

流出可能性のある情報には氏名、住所、電話番号、契約内容などが含まれ、市民生活に直結する深刻な事態となっています。

公共サービスを支える民間企業のセキュリティ対策が、社会インフラの安全性に直結する時代の到来を示す象徴的な事件です。

詳細な説明

攻撃を受けたのは水道局から検針業務や料金収納業務を受託している企業で、日常業務で大量の顧客情報を取り扱っていました。

ランサムウェア攻撃により業務システムが暗号化され、同時にデータが外部へ流出した「二重脅迫」型の手口と見られています。

攻撃者はデータを暗号化して身代金を要求するだけでなく、窃取したデータの公開をちらつかせて圧力を強める戦術を採用しています。

委託先企業は中小規模であり、限られた予算とIT人材の中でセキュリティ対策が十分でなかった可能性が指摘されています。

影響と対策

生活インフラに関わる情報の流出は、特殊詐欺や訪問犯罪などに悪用されるリスクがあり、都民に大きな不安を与えています。

水道局の信頼失墜だけでなく、他の重要インフラ事業者への波及的な不安も広がっています。

対策として、委託契約時にセキュリティ基準を明確化し、定期的な監査と改善指導を義務付けることが不可欠です。

技術面では委託先とのデータ共有を最小限に抑え、アクセスログの監視とランサムウェア耐性のあるバックアップ体制が重要です。

まとめ

ネットワークベンダーとして、PSIでは重要インフラと委託先を結ぶネットワーク設計の重要性を強調します。

委託先専用のネットワークセグメントを設け、必要最小限のデータアクセスのみを許可する設計が基本となります。

さらにゼロトラストの考え方に基づき、委託先からのアクセスも継続的に検証・監視する多層防御が効果的です。

「委託しているから任せる」のではなく、「委託しているからこそネットワーク設計で守る」という発想への転換が求められます。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp