国立国会図書館システムにサイバー攻撃

1. 状況

国立国会図書館が作っていた新しいシステムが、外部からのサイバー攻撃を受けました。
今回分かった重要な点は、

• 図書館そのものではなく
• システム開発を委託していた会社
  → さらにその下請けである 再委託先（孫請け）
  この再委託先の環境から不正アクセスが行われた疑いがある、ということです。

現時点では、

• 図書館利用者の個人情報流出
• 図書データの改ざん
  などは確認されていません。

2. 原因

• 再委託先（孫請け）のセキュリティが弱かった可能性
• アクセス権限の管理不足（必要以上に広い権限が与えられていた）
• 開発環境（本番前）は防御が弱くなりやすい
• 設定ミスや確認不足が起こりやすいタイミングを攻撃者に突かれた可能性

攻撃者は「弱いところから入る」という特徴があります。

3. 問題定義（何が問題なのか）

• 委託 → 再委託で管理が複雑化し、どこが責任を持つか不明確になりやすい
• 国の重要機関であるのに、下請け管理の甘さが原因となり得る
• 日本全体で続く「委託管理の弱さ」が露わになった形です。

4. 予測（今後どうなるか）

• 委託先・再委託先を含めた大規模な調査が実施
• システムの公開時期が延期
• Government全体で「外部委託管理強化」が議論される
• 他省庁・自治体でも同様の点検が拡大

5. 対策

国立国会図書館（組織として）

• 再委託を含めたセキュリティ基準の見直し
• 権限の最小化（ゼロトラスト化）
• 侵入経路のログ調査
• 委託先の監査を強化

私たち利用者として

• 図書館をかたる怪しいメールに注意
• SNSで憶測を拡散しない
• 最新情報は公式発表で確認

6. 影響（私たち・社会にどう影響するか）

• 図書館サービスの一部が遅れる可能性
• 国のデジタル化全体への不信感が高まる
• 他機関のセキュリティ強化で税金の使い道が変わる可能性
• 情報リテラシーの重要性がさらに増す

7. 株価への影響

国会図書館は上場企業ではないが、

• 開発を担当する企業
• セキュリティ系企業
  には影響が出る可能性。

一般的には、

• 攻撃された側：株価下落
• セキュリティ企業：注目され上昇
  の傾向がある。

8. 今後の見通し（回復までの時間）

• 調査：1〜3か月
• 再発防止策の導入：さらに数か月
  → 合計で2〜6か月程度かかる見通し。
  再委託先まで調査が必要なため、長期化もあり得る。

9. 同様の事例

• 大阪市図書館（2024）：外部委託の管理不足でランサムウェア被害
• 厚労省アプリ（2022）：再委託先が誤設定で情報公開
• 大手企業でも「開発環境攻撃」が増加中

共通点：本体より外部委託が弱点になりやすい

10. まとめ

• 国立国会図書館の開発中システムにサイバー攻撃
• 侵入経路は 再委託先（孫請け） の可能性
• 個人情報漏えいは今のところ確認なし
• 委託管理の弱さが日本全体の課題
• 回復まで数か月の可能性
• 利用者は不審メールに注意、憶測拡散を避ける