インシデントの概要と確認経緯

4月21日：社内Webサブシステムへの不正アクセス検知
損保ジャパンが運用する「各種指標管理を主としたWebサブシステム」において、4月21日に外部からの不審アクセスを検知したと発表。即座に通信遮断および影響範囲の特定に取りかかった。

フォレンジック調査の実施と確認事項
外部専門の調査会社による解析の結果、4月17日から21日の期間にわたり第三者が同システムへ侵入し、保険契約者および代理店関連情報にアクセス可能な状況であったと推定された。さらに外部への情報漏洩の可能性も排除できないと判断された。

警察への届出と事件相談の受理
同社は所管警察署へ不正アクセス発生を通報。警察は事件相談として受理済みであることが公式に報告されている。

被害の規模とデータ内容

調査報告では、対象システムから参照可能だったデータは以下の通りです：

特に、保険料支払口座情報が含まれる件数は1,638件、代理店募集人のID・生年月日等も9,366件含まれていたとのことで、漏洩内容は多岐にわたるが、マイナンバーやクレジットカード情報は含まれていないことが確認された。

※件数には重複データも含まれ、外部への実際の漏えい件数とは異なる可能性あり。

捜査・行政対応と金融庁からの「報告徴求命令」

6月11日：リリース通知
調査完了を受けた同社は6月11日、第2報としてあらためて公式に公表。「情報が外部に漏えいした可能性」「調査中で不正利用は確認されていない」との見解を示した。

6月13日：金融庁・報告徴求命令の受領
金融庁は保険業法第128条および個人情報保護法第146条に基づき、同社に対して正式な報告徴求命令を発出。今後、不正アクセスの手口、顧客対応状況、原因分析・再発防止策等を詳細に報告するよう求めている。

報告徴求命令とは、行政監督下に置かれる可能性もある重大事態と位置づけられ、同社には事実関係の徹底解明と関係各所への説明責任が課される。

同時期に発生した委託先サイバー攻撃との関係

実は本件に先立ち、4月30日、委託先業者（ギオン社）がランサムウェア被害に遭い、事故調査情報の漏えい可能性が報告されていた。現在のところ、ギオン社被害と今回のWebシステム不正アクセスには直接の因果関係は確認されていないが、情報管理体制の包括的な課題が浮かび上がっている。

損保ジャパンは当時「ギオン社に再発防止策を求め、自社でも委託先管理体制を強化する」と表明していたが、その直後に別ルートで不正侵入された可能性が高まっている点は見過ごせない点である。

影響とリスク対応

今後の個別顧客対応と公表戦略
損保ジャパンは影響を受けた可能性がある顧客に順次電話や書面で連絡を行い、連絡が取れない顧客については公表をもって通知に代える方針とのこと。

現在確認されている不正利用の有無
調査時点では情報漏洩や悪用の具体的事案は確認されていないが、サイバー犯罪者が潜在的に所持可能な状態であったことは否定できず、潜在的リスクが継続している。

再発防止策とセキュリティ体制の強化
初動として不正侵入受けたシステムの遮断と同様脆弱性の検証、ネットワーク監視体制の強化、ウェブアクセスログの継続的監視などが実施されている。さらに、フォレンジック調査に基づく脆弱ポイントの特定と修正、防御環境の再評価、各種認証方式やEDR（エンドポイント検知・対応）の強化が求められる状況だ。

専門家・業界視点の分析と今後の示唆

規模・影響の異例性

約1,700万件という漏えい可能性は、国内の保険業においても異例の大規模事案であり、被害者保護・社会的信頼維持の観点から重大事件に相当する。

サイバー攻撃の多様化

本件は特定システムへの侵入という狙い撃ち型の攻撃。外部セキュリティ環境だけでなく、内部越境への対策、サプライチェーンセキュリティ、EDR・ログ分析の高度化が急務。

委託先・外部連携の課題

ギオン社被害と類似した時期に発覚したことから、システムだけでなく全体の業務委託体制の再点検と強化が不可避。委託先への定期的なセキュリティ評価と演習、契約更新条件へのセキュリティ基準の明文化がカギ。

行政監督強化との連動

金融庁からの報告徴求命令は行政処分の前段階。今後、不備が重大と判断されればより厳しい行政指導・業務停止処分・罰則規定への展開も見込まれ、今後の対応次第では企業経営にも影響が波及する。

サイバー保険の適用とサービス体制

同社グループが提供する「サイバー保険」と連動した支援体制（フォレンジック支援、広報対応、被害者支援などのワンストップ提供体制）も機能が試される場面となる。

今後の焦点と留意点

1. 金融庁への詳細報告の中身 → 行政判断への影響
   原因解明と再発防止策の妥当性が審査され、行政指導や処分の結果に直結。
2. 被害者救済の実行と情報開示の透明性
   漏洩の可能性があったデータをどこまで通知するのか、万一の不正利用が発生した場合の補償対応など。
3. 社内文化と組織体制の見直し
   CSIRT・インシデント対応チームの制度化、定期的な演習と経営トップの関与、従業員向け教育の徹底。
4. 委託先・外部ベンダーとの契約・監査体制の再設計
   第三者リスク管理を中心とした契約条項の明文化と監査プロセスの導入。法令順守・ISO標準準拠など。
5. セキュリティ投資とロードマップの再策定
   既存の資産保護体制やツールの性能確認、セキュリティ人材の強化、今後の技術動向（AI脅威分析・自動化対応など）への対応。

8. 結論と展望

4月21日に確認された損保ジャパンのWebサブシステムへの不正アクセスは、約1,700万件超に上る個人・代理店情報が漏洩の危機に晒された重大事案です。行政（金融庁）の関与と報告徴求命令、警察による受理、そして企業としての再発防止策の明示が求められています。このような大規模データ流出リスクでは、企業の社会信頼が揺らぐだけでなく、株価・業績・経営責任にも波紋を広げる可能性があります。

今後は、被害判明時からの初動対応、情報開示、公的調査、再発防止策の構築・実行が問われます。同時に委託先やベンダーとの体制見直しは不可避であり、業界全体への警鐘となる事案です。損保ジャパンのみならず、国内の金融・保険業界におけるサイバーセキュリティ対策の強化機運も一段と高まる中、この事件の分析と改善策の具体性が、業界の今後の姿勢を方向付けることでしょう。

【公式】損保ジャパン

損保ジャパンの公式ウェブサイトです。すべてをお客さまの立場で考える会社を目指し、自動車保険、火災保険、地震保険、海外旅行保険など、安心・安全・健康をサポートする商品・サービスを多数取り扱っています。

www.sompo-japan.co.jp

逮捕されたのは全国の中高生3人

警視庁によると、逮捕されたのは以下の3人です。

• 岐阜県大垣市の高校1年生（16歳）
• 滋賀県米原市の中学3年生（15歳）
• 東京都立川市の中学3年生（14歳）

彼らは昨年5月から8月にかけて、大手携帯電話会社である楽天モバイルのシステムに不正ログインし、合計で100件以上の通信回線を契約していた疑いが持たれています。この行為が、不正アクセス禁止法違反および電子計算機使用詐欺の疑いに該当するとして、今回の逮捕に至りました。

犯罪の手口――生成AIを活用した高度なプログラム

今回の事件で注目すべきは、中高生たちが生成AI「ChatGPT」を利用し、犯罪行為を効率化するプログラムを開発していた点です。

① 30億件以上のID・パスワードを入手

3人は、不正ログインを行うために、30億件以上のIDやパスワードを「テレグラム」経由で購入。テレグラムは匿名性が高いため、違法取引が頻繁に行われる場としても知られています。

② AIを使って不正ログインのプログラムを改良

取得した膨大な情報をもとに、彼らはAIを活用して高速でログイン可能なプログラムを開発しました。ChatGPTを使いながら、処理速度を向上させる方法やセキュリティの回避方法を学び、プログラムを改良。これにより、短期間で多数の回線契約が可能になりました。

③ 契約した回線を転売し750万円相当の暗号資産を獲得

不正に契約した回線は、インターネット上で転売されました。転売によって得た資金は約750万円相当の暗号資産に変換され、3人はこれをオンラインカジノなどに使用していたとされています。

オンラインゲームで知り合い、犯罪グループを形成

驚くべきことに、3人はリアルな知り合いではなく、オンラインゲームを通じて出会った仲間でした。

ゲーム内のコミュニケーションをきっかけに親しくなり、互いにスキルを持ち寄る形で犯罪行為を進めていったとのことです。1人がプログラムの開発を担当し、別の1人がSNSなどを通じて情報を収集、もう1人が転売の役割を果たしていたという分業体制が敷かれていました。

警視庁の調べに対し、3人は以下のような供述をしています。

• 「高度な犯罪手法を考案することで、SNSで注目を集めたかった」
• 「稼いだお金はオンラインカジノで使った」

彼らは犯罪行為そのものを楽しんでいた側面もあるようです。

生成AIの悪用リスクが世界的に高まる

近年、生成AIの進化は目覚ましく、プログラミングの知識がなくても簡単に高度なコードを生成できるようになりました。そのため、サイバー犯罪の敷居が大幅に下がりつつあるのが現状です。

国内での生成AIを使った犯罪事例

今回の事件以前にも、国内で生成AIを悪用したサイバー犯罪が報告されています。

• 2024年：20代の男性が、生成AIを利用してランサムウェア（身代金要求型ウイルス）を作成し、逮捕された事件が発生。
  • 容疑者はプログラミングの知識を持たず、ChatGPTを使ってコードを生成。
  • その結果、わずか数時間で危険なウイルスを作り出すことができた。

この事件と同様に、今回の中高生たちも独学でプログラムを学び、生成AIを駆使して犯罪行為を行っていた点が共通しています。

AI技術の発展と倫理的課題

今回の事件を通じて浮かび上がるのは、AI技術の倫理的な利用に関する課題です。

① AIを使えば誰でもサイバー犯罪が可能になる

従来、サイバー犯罪を行うには高度なプログラミングスキルが必要でした。しかし、生成AIの登場により、その壁が崩壊しています。

特にChatGPTのようなAIは、サイバー攻撃の技術を学ぶための手助けをする可能性があるため、犯罪リスクが高まっています。

② 子どもたちが犯罪に手を染めるリスク

今回の事件で逮捕されたのは14歳～16歳の未成年です。若年層でも高度なサイバー犯罪が可能になったことで、今後も同様の事件が発生する可能性があります。

警視庁「犯罪を必ず検挙することで、AI悪用を防ぐ」

警視庁は、今回の事件を受けて以下のようにコメントしています。

「生成AIを悪用した犯罪は、今後さらに増加する可能性がある。技術の進歩に応じた捜査体制を強化し、犯罪者を必ず検挙することでAIの悪用を防いでいきたい」

また、AI技術の開発者に対しても、

「AIの悪用を防ぐための対策を強化し、責任ある開発を行うべきだ」

と述べています。

今後の展望――AI時代の犯罪対策

今回の事件は、生成AIの進化がもたらすリスクを浮き彫りにしました。今後、AI技術がさらに発展する中で、以下のような対策が求められます。

1. 生成AIの使用制限や規制の強化
2. 教育現場でのAIリテラシー向上
3. 企業側のセキュリティ対策の強化
4. 警察のサイバー犯罪捜査能力の向上

特に未成年の犯罪リスクが高まっているため、学校や家庭での適切なAI教育が急務となっています。

まとめ

今回の事件は、生成AIの悪用が現実の問題になりつつあることを示す衝撃的な事例です。AIは便利な技術である一方、使い方を誤れば犯罪に悪用される危険性があることを、私たちは強く認識する必要があります。

今後の技術発展の中で、AIを正しく活用するための倫理的な議論がさらに求められるでしょう。