委託先のIBM環境から7万人分の個人情報が流出 開発環境に潜む「実データ」のわな:「匿名化の不徹底」が招いた事案
IBMが管理する開発環境から7万人分の個人情報が流出した。匿名化したはずのテスト用データに実データが混入していたことが原因だ。本番環境より守りが手薄な「開発・テスト環境」と「委託先管理」という、情シスにとっての二大リスクが引き起こした事件の全容と、サプライチェーン攻撃を防ぐための教訓を詳報する。
シンガポール土地管理局(SLA)は2026年7月3日((現地時間)、技術サプライヤーのIBMが管理するクラウド環境が不正アクセスを受けたと発表した。これにより約7万人の個人情報が流出したとしている。
IBMは、シンガポールの不動産登記を支える「不動産登記自動登録システム(Stars)」と「電子届け出システム(ELS)」の保守とサポートを委託されている。同社はこの業務の一環として、これら二つのシステムの開発および統合テスト環境を管理していた。
SLAは声明で、IBMからこの事案の報告を受けたと述べた。調査によると、開発およびテスト専用に作成されたデータセットに不正アクセスがあったという。
開発・テスト環境に実データが混入するリスク
「情報漏えい」に関連する編集部お薦め記事
1998年に作成され、定期的に更新されてきたこのデータセットは本来、匿名化されたテスト用データのみを含むはずだった。しかしSLAは、当時の対象者の氏名、国民登録番号(NRIC)、住所が含まれていたことを明らかにした。
SLAは「本来は匿名化されるべきだったが、されていなかった」として原因の調査を続けている。
なお、影響を受けた環境は稼働中のシステムとは明確に分離されており、StarsやELSといった実環境のシステムへの影響や接続は確認されていない。不動産の所有権や届け出記録は安全だという。
IBMはさらなる不正アクセスを防ぐため当該環境へのアクセス権を無効化した。SLAは対象者を特定し、通知と支援の提供を開始している。
SLAはIBM、政府技術庁、シンガポールサイバーセキュリティ庁(CSA)と協力し、事実関係の解明と是正措置の徹底を進めている。警察への通報と個人情報保護委員会への通知も完了した。
「この事案が引き起こす懸念と不便をおわびする」とSLAは述べるとともに、政府機関をかたるフィッシングメールや不審な連絡に注意するよう呼びかけている。
今回の事案は、開発・テスト環境に実データが混入するリスクを浮き彫りにした。こうした環境は本番環境よりも管理が甘くなりがちで、外部委託先が運用している場合はさらにリスクが高まる。
シンガポールでは近年、サプライチェーンを狙ったセキュリティ事案が相次いでいる。2025年4月には、DBS銀行および中国銀行シンガポール支店の印刷サプライヤーであるトッパン・ネクスト・テックがランサムウェア攻撃を受け、顧客データが窃取された。DBS銀行の顧客約8200人と中国銀行の顧客約3000人に影響が及んだ可能性がある。
また2024年8月には、教育プラットフォーム「Mobile Guardian」への不正アクセスが発生し、約1万3000人の生徒の端末からデータが消去された。教育省はその後、同社との契約を解除している。
シンガポールがサードパーティーリスクにさらされていることは明らかだ。セキュリティ格付け会社SecurityScorecardが2025年に発表した侵害事例の分析によると、同国はサードパーティーに起因する侵害の割合が世界で最も高く、記録されたインシデントの71.4%に達していた。
こうした懸念を受け、2024年5月にはサイバーセキュリティ法が改正され、重要情報インフラ(CII)の所有者はサプライヤーのシステムで起きた事案も報告する義務を負うことになった。この改正法は2025年10月31日から施行されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“224万人流出”の衝撃 米スーパーを襲った「ランサムウェア」の深刻な現実
米国の大手スーパーマーケットチェーンを狙ったランサムウェア攻撃により、従業員と顧客を含む224万人の個人情報が流出した。攻撃の手口と被害の実態を詳しく見ていく。
まさかのあれが“丸見え” 歴史に残る情報漏えい事件5選
サイバー攻撃や個人情報の漏えいは後を絶たない。過去に起きた事件では、企業はどのような対策を怠っていたのか。5例紹介する。
FBIが猛反対でも…… サイバー攻撃者に「身代金」を支払わざるを得ない残酷な現実
学習管理システム「Canvas」がサイバー攻撃を受け、膨大な個人情報が流出した。被害企業はデータの回収と引き換えに攻撃者との取引に踏み切ったが、この決断を巡って議論が再燃している。犯罪者への支払いの是非は。
自社保護のために知っておきたい ランサムウェア標的業界「トップ10」
猛威を振るっているランサムウェア攻撃に「うちの業界は関係ない」と考えるのは危険だ。2026年、どのような業界が重点的に狙われているのか。NordStellarの調査を見てみよう。
アサヒグループへのランサムウェア攻撃はなぜ、どのようにして起こったのか?
アサヒビールやアサヒ飲料を擁するアサヒGHDは、2025年9月に発生したサイバー攻撃の詳細を説明した。アサヒGHDのシステムはどのようにして侵入されたのか。復旧作業が長期化している原因と、今後の再発防止策は。