2024年7月、全国の学校向けに卒業アルバムを制作している「斎藤コロタイプ印刷株式会社」(本社:仙台市)が、ランサムウェアによるサイバー攻撃を受け、最大で約17万3000件の個人情報が流出した可能性があることが判明しました。
影響の範囲は全国2000校以上
この攻撃により、2023年度の卒業アルバムに掲載された以下の情報が流出した可能性があります。
- 生徒・教職員の氏名
- 顔写真
- クラブ活動などの集合写真
被害の範囲は広く、北海道だけでも219校・約1万9000人、仙台市内では27校・約2500人の情報が含まれているとのことです。対象は全国2000校以上に及ぶと見られており、極めて大規模な情報漏洩となっています。
卒業アルバムデータは何に使われるのか?
一見「ただの写真と名前」に見える卒業アルバムの情報。しかし、サイバー犯罪者にとっては、以下のような悪用が現実に考えられます。
AIによるフェイク画像・映像の生成
顔写真が豊富に含まれている卒業アルバムデータは、ディープフェイクなどの偽動画や偽画像を生成する材料になり得ます。特に未成年の顔写真は、悪質な用途に使われる恐れがあり、深刻な人権侵害にも繋がります。
成りすまし・詐欺への利用
氏名・顔・出身校といった情報があれば、過去の知人を装った詐欺や、SNS上でのなりすましなど、ソーシャルエンジニアリング攻撃に悪用されるリスクがあります。
顔認証の突破リスク
最近はスマートフォンや銀行などで顔認証が普及しています。正面からの高解像度写真が手に入れば、AIを使って立体化し、顔認証を突破しようとする試みも実際に行われています。
闇サイトなどでの情報売買
「名前+顔写真+学校名」といった組み合わせは、闇市場では“属性付き個人情報”として高値で売買されることがあります。フィッシング詐欺やターゲット広告にも利用される可能性があります。
判明までに数カ月、発表は2025年4月に
サイバー攻撃自体は2024年7月に発生していたものの、斎藤コロタイプ印刷が漏洩の可能性を把握したのは11月。学校や教育委員会への報告・謝罪が始まったのは2025年4月と、かなりの時間を要しました。この点については一部で対応の遅れを指摘する声も上がっています。
現時点での二次被害は確認されていない
幸いにも、今のところSNS等での情報拡散や悪用といった二次被害は確認されていません。同社は、対象となった学校および個人に対し、詳細の通知と相談窓口の設置を行っています。
セキュリティ対策の重要性が改めて問われる
今回の事件は、民間企業が学校や公共機関と密接に関わる業務を担っている現代において、サイバーセキュリティの脆弱性がいかに大きな社会的リスクを生むかを改めて示したと言えます。
卒業アルバムという一見「紙の世界」の情報も、制作過程ではデジタルデータとして取り扱われており、今後はより一層の対策と透明性が求められるでしょう。
