2025年9月25日、島根県川本町が指定管理する施設「かわもと音戯館」のホームページにおいて、不正アクセスが発生したことを公表しました。これにより、施設の利用者に関する個人情報が漏えいした可能性があるとしています。
本記事では、川本町の公式発表をもとに、発生した不正アクセスの概要、確認された被害内容、この不正アクセスにおける対応策について詳しく解説します。
出典:報道発表資料 – 川本町
目次
島根県川本町指定施設「かわもと音戯館」が不正アクセス被害を公表
2025年9月25日、島根県川本町は、指定管理する複合施設「かわもと音戯館」のホームページに対して不正アクセスが確認され、サーバーに保存されていた利用者の個人情報が外部に漏えいした可能性があることを発表しました。
漏えいの可能性がある情報は、宿泊施設の予約者情報(氏名、住所、電話番号、メールアドレス)およびプール施設のアカウント登録情報(アカウント名、メールアドレス)で、判明している件数は合計83件(うち1件は指定管理者本人)とされています。
現在、当該サイトは復旧しており、セキュリティ対策の見直しや再発防止策が講じられています。
2025年9月、指定施設「かわもと音戯館」に対する不正アクセスを確認
不正アクセスの兆候は、2025年9月20日午前8時前後に発覚しました。指定管理者がウェブサイトの管理画面にログインできない状況に気づき、同時に利用者から「ホームページを開いた際に別のサイトへ転送される」といった問い合わせが複数寄せられたことを受け、サーバー管理会社へ状況確認を依頼しました。
同日中に不正アクセスおよびウェブサイト改ざんの痕跡が確認され、調査と対応が開始されました。サーバー管理会社は9月21日午後にセキュリティ強化と不正プログラムの無効化を完了し、その後、改ざんされたファイルを削除。ホームページは9月24日に復旧されています。
9月25日午前には、指定管理者から川本町への報告が正式に行われました。
パスワード管理の脆弱性が原因
調査の結果、ホームページ管理者用のパスワード設定に脆弱性があったことが明らかとなり、これが不正アクセスの原因である可能性が高いとされています。
攻撃者はこの脆弱性を利用して管理画面に不正侵入し、サーバー上に不正なファイルを設置。ウェブサイトにアクセスした利用者が外部の別サイトへ自動的に誘導されるよう改ざんされていたことが確認されました。
川本町および指定管理者による対応と再発防止策
川本町および指定管理者は、以下の対応を実施しています。
- 対象者への通知:個人情報漏えいの可能性がある利用者83名に対し、個別に通知を行うよう指示。
- セキュリティ強化:管理用パスワードの定期変更や複雑化、個人情報を保存しないシステム設計への変更を要請。
- 即時報告体制の整備:不正アクセスの兆候があった場合には、速やかに川本町へ報告する体制を徹底。
- 指定管理者への指導:町として、再発防止に向けた管理者教育とシステム運用の見直しを推進。
町は、利用者および関係者に対して深く謝罪するとともに、引き続き信頼回復に向けた対応を進めるとしています。
出典:報道発表資料 – 川本町
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
不正アクセス事案から見える課題と対策の重要性
本記事では、川本町が指定管理する「かわもと音戯館」のホームページに対する不正アクセス事案について、公式発表をもとにその概要と対応状況をまとめました。
地方自治体が管理する公共施設においても、インターネットを通じたサイバー攻撃のリスクが現実となっており、今回のような事案では、住民や利用者の個人情報が被害対象となりうることが改めて浮き彫りになりました。
アクセス管理やパスワード設定といった基本的なセキュリティ対策の徹底に加え、万が一に備えた迅速な対応体制と再発防止策の強化が、今後ますます求められます。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
