2025年 株式会社審調社 情報漏洩事案に関する包括的調査報告書:サプライチェーンリスクと機微情報保護の構造的課題
- インシデント・リサーチチーム
- 12月9日
- 読了時間: 12分
1. 序論:保険エコシステムの脆弱性とインシデントの背景
1.1 調査の目的と背景
2025年、日本の保険業界を揺るがす重大なサイバーセキュリティインシデントが発生した。損害保険会社や生命保険会社から事故査定業務を受託する「株式会社審調社」(以下、審調社)がランサムウェア攻撃を受け、約10万4,000件に及ぶ個人情報が流出した事案である1。本報告書は、このインシデントの全容、技術的要因、流出した情報の特異性、そして保険業界全体に及ぼす影響を包括的に分析することを目的とする。
現代の金融サービス、特に保険業において、業務の効率化と専門性の確保は、外部委託(アウトソーシング)によって支えられている。事故調査、医療情報の照会、損害額の算定といったプロセスは、審調社のような専門機関が「情報のハブ」として機能することで成立している。しかし、今回のインシデントは、この高度に分業化されたサプライチェーンが、サイバー攻撃者にとっての「格好の攻撃経路(アタック・ベクター)」となり得ることを残酷なまでに証明した。
特に本件において特筆すべきは、流出した情報に個人の「病歴」や「医療機関名」といった、極めてセンシティブな要配慮個人情報が含まれていた点である2。クレジットカード番号のような更新可能な財産的情報とは異なり、個人の身体的・健康的特徴に関する情報は生涯変更が不可能であり、その流出は被害者に永続的なプライバシーリスクをもたらす。本報告書では、単なるデータ漏洩の事実確認に留まらず、なぜこのような事態が起きたのか、そして業界が直面する構造的な課題は何であるかを深掘りする。
1.2 インシデントの概要
2025年6月下旬、審調社のサーバーが第三者による不正アクセスを受け、ランサムウェアによってデータが暗号化された。その後の調査により、同年12月5日には約10万件の個人情報が流出し、その大半がダークウェブ等の外部サイトに掲載されている事実が公表された1。被害を受けた委託元企業は、三井住友海上火災保険、東京海上日動火災保険、あいおいニッセイ同和損害保険といった大手損保に加え、SBI生命保険、第一生命グループ、富国生命保険、こくみん共済coop(全労済)など、業界を横断する広範な組織に及んでいる3。
2. インシデントの時系列分析と技術的詳細
本章では、攻撃の検知から公表に至るまでのタイムラインを整理し、攻撃者の手法と審調社の対応プロセスを詳細に分析する。
2.1 インシデント・タイムライン
情報の漏洩から公表まで約半年を要している点は、本事案の複雑さとフォレンジック調査の難易度を示唆している。以下に主要なイベントを整理する。
年月日 | フェーズ | 出来事の詳細 | 関連・出典 |
2025年6月下旬 | 初期侵入・潜伏 | 攻撃者が審調社のネットワークへ侵入。セキュリティソフトの無効化を実行し、管理者権限を奪取したと推測される。 | 6 |
2025年6月27日 | 発覚・暗号化 | 社内従業員がシステムの異変を報告。サーバー内のファイルがランサムウェアにより暗号化されていることを確認。 | 3 |
2025年7月2日 | 二重脅迫の確認 | 取引先より、審調社に関連すると思われる情報がダークウェブ上に掲載されているとの通報を受領。情報の窃取と公開を伴う「二重脅迫型」であることが判明。 | 3 |
2025年7月中旬 | 当局の介入 | 金融庁が事態を把握。日本生命等の関連保険会社に対し、情報持ち出し等に関する報告徴求命令を発出するなど、監督上の措置を開始。 | 7 |
2025年7月〜11月 | 調査・復旧 | 外部セキュリティ専門会社と連携し、詳細な影響範囲の調査、ログ解析、ダークウェブ上のデータ確認を実施。警察への被害届提出。 | 3 |
2025年12月5日 | 最終報告・公表 | 審調社および各委託元保険会社が一斉に被害状況を公表。流出件数が約10万4,000件であること、医療情報が含まれることを正式に認める。 | 1 |
2.2 攻撃手法の技術的考察
2.2.1 ランサムウェアと二重脅迫(Double Extortion)
本件は、データを暗号化してシステムを使用不能にするだけでなく、機密データを窃取し、身代金を支払わなければ公開すると脅す「二重脅迫型」の手法が用いられた。報道によれば「大半が外部サイトに掲載」1されていることから、攻撃者は金銭的な要求が満たされなかった、あるいは最初から情報の暴露による破壊活動を目的としていた可能性が高い。
2.2.2 セキュリティ無効化による深層侵入
こくみん共済coopの発表によれば、審調社の端末に導入されていたセキュリティソフトが、侵入した第三者によって無効化されていたことが確認されている6。これは極めて重要な技術的詳細である。
通常、ランサムウェアの実行ファイルはエンドポイント保護プラットフォーム(EPP)やEDR(Endpoint Detection and Response)によって検知される可能性が高い。攻撃者がこれを無効化できた事実は、攻撃者が単にマルウェアをばら撒いただけでなく、ネットワーク内での横展開(ラテラルムーブメント)を行い、ドメイン管理者権限(Domain Admin)等の高度な特権IDを掌握していたことを強く示唆する。権限奪取により、組織全体の防御機能を「内側から」解除し、無防備な状態で暗号化を実行するという、標的型攻撃の典型的な手口である。
2.2.3 侵入経路の仮説
具体的な侵入経路は公表されていないが、昨今のトレンドおよび「セキュリティソフトの無効化」という事実から、VPN機器の脆弱性悪用、あるいはリモートデスクトッププロトコル(RDP)の認証突破、フィッシングメールによる初期侵入からの権限昇格などが強く疑われる。
3. 流出したデータの特異性とプライバシーリスク
本インシデントを深刻化させている最大の要因は、流出したデータの「質」である。金融資産情報とは異なり、個人の尊厳に関わる情報が含まれていた。
3.1 データ分類とリスク評価
データカテゴリ | 具体的な項目 | 性質とリスク | 出典 |
個人識別情報 | 氏名、住所、電話番号 | 個人の特定、追跡が可能。詐欺やストーカー被害の基礎データとなる。 | 8 |
要配慮個人情報 | 病歴、医療機関名 | 個人情報保護法上の「要配慮個人情報」。差別、偏見、就職や結婚への悪影響、高精度なフィッシング(医療費詐欺等)への悪用。 | 2 |
契約関連情報 | 保険種別、事故状況、審調社案件番号 | 契約者がどのようなトラブル(事故・病気)に遭遇したかが推測可能。 | 6 |
内部関係者情報 | 従業員・採用応募者の氏名 | 審調社関係者に対するソーシャルエンジニアリング攻撃のリスク。 | 2 |
3.2 医療情報流出の深刻度
審調社は、保険会社からの委託を受けて、保険金支払いのための事実確認(医療アジャスト業務)を行う。そのため、同社のサーバーには、契約者が保険金請求のために提出した診断書の内容や、医療機関への照会結果が保存されていた2。
「病歴」や「通院先の医療機関名」がダークウェブに流出した場合、被害者は以下のようなリスクに晒される。
社会的信用の毀損: 特定の疾病(精神疾患、感染症、遺伝性疾患など)に関する情報が第三者に知られることで、職場や地域社会での差別や偏見に繋がる恐れがある。
標的型詐欺の高度化: 「〇〇病院の未払い医療費がある」「あなたの病状に関する新しい治療法がある」といった、極めてリアリティのある詐欺メールや電話のターゲットになる可能性がある。
3.3 財産的被害の不在という逆説
一方で、審調社および委託元は「クレジットカード番号やマイナンバーカードなどの財産的被害が生じる恐れのある情報は所持していない」と強調している6。これは事実であろうが、被害の質を過小評価するリスクもはらんでいる。金銭的な被害は補償によって回復可能であるが、病歴等のプライバシー情報の拡散は「覆水盆に返らず」であり、被害者の精神的苦痛は計り知れない。
4. サプライチェーンリスクと委託元企業の責任
本件は、一社のセキュリティ不備が、業界全体の信頼を損なう「サプライチェーン攻撃」の典型例である。
4.1 被害の広がりと「ハブ」としての脆弱性
審調社のような調査会社は、複数の保険会社と契約を結び、業界全体の共通インフラとして機能している。攻撃者から見れば、個別の保険会社(大手損保など)は堅牢なセキュリティ対策を講じているため攻略が難しいが、それらの会社からデータが集まる委託先企業は、相対的にセキュリティ予算や人員が少なく、攻略が容易な場合がある。
今回、以下の主要な保険会社グループが影響を受けたことは、審調社がいかに業界内で広く業務を受託していたかを示している。
損害保険: 三井住友海上、東京海上日動、あいおいニッセイ同和3
生命保険: SBI生命、第一生命グループ、富国生命、明治安田生命(言及あり)3
共済: こくみん共済coop(全労済)6
4.2 委託元責任の法的・実務的側面
個人情報保護法第22条は、委託元(保険会社)に対し、委託先(審調社)への「必要かつ適切な監督」を義務付けている。
監督の実効性: 大手保険会社は通常、委託先に対してセキュリティチェックリストの回答を求めたり、定期的な監査を行ったりしている。しかし、今回の「セキュリティソフト無効化」のような高度な攻撃を防ぐための運用実態まで、契約段階や年1回の監査で完全に見抜くことは困難である。
「全社的」なリスク: 報道によれば、味の素などの他業界でも全社的リスクマネジメントの再構築が叫ばれる中、保険業界においては、まさにこの「委託先管理(Third Party Risk Management: TPRM)」がアキレス腱となった5。
5. 規制当局の対応とコンプライアンスへの影響
金融庁および個人情報保護委員会の動向は、今後の業界標準を決定づける重要な要素である。
5.1 金融庁による報告徴求命令
金融庁は、保険業法に基づき、日本生命をはじめとする関係各社に対して報告徴求命令を発出した7。
監督の焦点: 単に「漏洩した事実」の報告だけでなく、「なぜ防げなかったのか」「委託先管理態勢はどうなっていたのか」「再発防止策は具体的か」が厳しく問われる。
経営責任: 損保ジャパン等が過去に不正アクセスで報告徴求を受けた事例と同様、本件も経営管理態勢の不備として扱われる可能性があり、各社の経営層にとっても重大な関心事となる10。
5.2 改正個人情報保護法への対応
漏洩した情報が「要配慮個人情報」を含むため、法令に基づく個人情報保護委員会への報告と、本人への通知が必須となる。約10万人の被害者一人ひとりに対し、漏洩の事実とお詫び、二次被害への注意喚起を行うコスト(郵送費、コールセンター設置費、対応工数)は甚大であり、審調社単独での負担能力を超える可能性もある。そのため、委託元である保険会社が前面に出て対応せざるを得ない状況が生じている。
6. 再発防止策と今後の展望
6.1 審調社による技術的対策
審調社は、セキュリティ専門会社の支援を受け、以下の対策を公表している6。
クリーンな業務環境の構築: 汚染された可能性のあるネットワークや端末を破棄・初期化し、業務用PCを全台入れ替えるという抜本的な措置。これはマルウェアの残留(永続化)リスクを完全に排除するための最も確実な方法である。
認証の強化: 多要素認証(MFA)の導入や、特権ID管理の厳格化が含まれると推測される。
検知力・対応力の強化: EDRの導入や、24時間365日の監視体制(SOC)の構築、CSIRTの設置などが求められる。
6.2 業界全体への提言:ゼロトラストとActive Defense
本件は、従来の「境界型防御」や「委託先への書面監査」の限界を露呈した。
ゼロトラスト・アーキテクチャの適用: 委託先からのアクセスや、委託先へ渡すデータに対し、「決して信頼せず、常に検証する」アプローチが必要となる。例えば、データを委託先に渡すのではなく、委託先が保険会社のセキュアな環境にアクセスして作業を行う(VDI等)方式への転換が検討されるべきである。
データの最小化: 調査業務において、本当に「病歴」の全データが必要なのか、匿名化や仮名加工情報は使えないのか、データのライフサイクル管理(不要になったら即時削除)を徹底する必要がある。
7. 結論
2025年の審調社情報漏洩インシデントは、デジタル化が進む保険業界において、サプライチェーンの末端を狙ったサイバー攻撃がいかに甚大な被害をもたらすかを示す教訓となった。約10万人のセンシティブな医療情報がダークウェブに流出した事実は重く、被害者の不安解消には長い時間を要する。
保険各社は、委託先の選定基準を厳格化するだけでなく、委託先と共にセキュリティレベルを向上させる「共助」の姿勢、そして万が一の侵害を前提としたレジリエンス(回復力)の強化へと舵を切らなければならない。金融庁の監督強化も相まって、本件は日本の金融業界におけるサードパーティリスク管理の転換点となる出来事であると言える。
参考文献・出典
本報告書は、以下の情報源に基づき作成された。
1 朝日新聞 (2025). 損保の契約者情報など約10万件が流出 大半が外部サイトに掲載.
3 CyberGym Japan (2025). 三井住友海上やSBI生命保険などの顧客情報、ダークwebに流出か.
3 CyberGym Japan (2025). 顧客情報のダークウェブ流出に関する詳細.
4 東日本放送 (2025). 審調社情報漏洩、損保各社が被害発表.
7 金融ファクシミリ新聞 (2025). 日本生命、情報持ち出しで金融庁から報告徴求命令.
5 リスク対策.com (2025). 審調社不正アクセス被害、全社的リスクマネジメントの重要性.
8 KBC九州朝日放送 (2025). 生損保から約10万件の個人情報漏えいか.
2 埼玉新聞 (2025). 審調社漏洩、医療情報や従業員情報も含まれる.
6 こくみん共済coop (2025). 業務委託先における個人情報の漏えいについて.
6 こくみん共済coop (2025). 公表資料詳細:セキュリティ対策と再発防止.
引用文献
損保の契約者情報など約10万件が流出 大半が外部サイトに掲載 - 朝日・日刊スポーツ, 12月 7, 2025にアクセス、 https://smart.asahi.com/v/article/ASTD5342YTD5ULFA02DM.php
生損保委託先で情報漏えい|埼玉新聞|埼玉の最新ニュース ..., 12月 7, 2025にアクセス、 https://www.saitama-np.co.jp/articles/171471
三井住友海上やSBI生命保険などの顧客情報、ダークwebに流出か ..., 12月 7, 2025にアクセス、 https://cybergymjapan.com/%E4%B8%89%E4%BA%95%E4%BD%8F%E5%8F%8B%E6%B5%B7%E4%B8%8A%E3%82%84sbi%E7%94%9F%E5%91%BD%E4%BF%9D%E9%99%BA%E3%81%AA%E3%81%A9%E3%81%AE%E9%A1%A7%E5%AE%A2%E6%83%85%E5%A0%B1%E3%80%81%E3%83%80%E3%83%BC/
生損保から約10万件の個人情報漏えいか サイバー攻撃の影響で | khb ..., 12月 7, 2025にアクセス、 https://www.khb-tv.co.jp/news/16205014
大手保険の顧客情報流出か=委託先に不正アクセス | 防災・危機管理ニュース | リスク対策.com, 12月 7, 2025にアクセス、 https://www.risktaisaku.com/articles/-/104213
当会の業務委託先における個人情報の漏えいについて | 共済・保障の ..., 12月 7, 2025にアクセス、 https://www.zenrosai.coop/zenrosai/topics/2025/32664.html
金融ファクシミリ新聞 電子版, 12月 7, 2025にアクセス、 https://kinfaku.jp/home.php?cmd=cat&cat=72&upwd=1&nid=20250630044500017
全国のニュース, 12月 7, 2025にアクセス、 https://kbc.co.jp/news/detail.php?id=202512051229_0002&cat=finance&date=0
「倒産」のYahoo!リアルタイム検索 - X(旧Twitter)をリアルタイム検索, 12月 7, 2025にアクセス、 https://search.yahoo.co.jp/realtime/search/%E5%80%92%E7%94%A3/?ei=UTF-8&rkf=1&ifr=tl_unit&p=%E5%80%92%E7%94%A3%E6%B3%95
東京海上・三井住友・あいおいの3損保、情報漏えいは計2万3000件 ..., 12月 7, 2025にアクセス、 https://www.netdenjd.com/archives/625753