公益社団法人かながわ福祉サービス振興会が運営する介護サービス評価システム「かなふく評価ガイド」が不正アクセスを受け、システムを一時停止しました。攻撃を受けた可能性があるのは2026年6月10日から、事象の判明が6月17日、公表が7月2日です。現時点で個人情報漏えいの有無は確定していません。自組織が直接の当事者でなくても、「不正アクセスの検知にかかった時間」と「公表までの時間差」は、あらゆる情シスにとって他人事ではない論点を含みます。
この記事でわかること
- 何が起きたのか(対象システム・時系列・現在の対応)の事実整理
- 攻撃可能性から判明・公表までの「時間差」が示す実務上の課題
- 公益法人・外郭団体のシステムが狙われる構図と、委託元・利用側の情シスがやるべきこと
何が起きたのか
報道および運営元の公表によると、事実関係は次のとおりです。攻撃手法の詳細(ランサムウェアか、Webアプリの脆弱性を突いた侵入かなど)は現時点で公表されておらず、「不正アクセスを検知した」という段階の情報です。
| 項目 | 内容 |
|---|---|
| 対象システム | 介護サービス評価システム「かなふく評価ガイド」 |
| 運営者 | 公益社団法人 かながわ福祉サービス振興会 |
| 攻撃を受けた可能性 | 2026年6月10日 0時ごろから |
| 事象の判明 | 2026年6月17日 |
| 公表 | 2026年7月2日 |
| 攻撃の種類 | 不正アクセス(詳細な手法は未公表) |
| 個人情報漏えい | 有無は未確定(新たな事実判明時に対象へ連絡予定) |
| 現在の対応 | ネットワークを遮断し原因究明・影響範囲を調査中。第2期の募集は終了 |
現在の対応状況はどうなっているか
被害拡大を防ぐためネットワークを遮断し、原因と影響範囲の調査を進めています。ネットワーク遮断は初動として妥当な判断です。調査結果はウェブページで随時公表し、対象事業所には個別に連絡する方針が示されています。
「検知まで約1週間、公表まで約2週間」が示すもの
今回の時系列で情シスが注目すべきは、二つの時間差です。攻撃を受けた可能性のある6月10日から判明の6月17日まで約1週間、判明から公表の7月2日まで約2週間あります。いずれも「遅い・良い」を断じる材料はありませんが、自組織に置き換えて考える良い題材です。
検知の時間差:ログと監視は「後から追える」状態か
攻撃の可能性を「6月10日から」とさかのぼって特定できているのは、何らかのログが残っていたためと考えられます。逆に言えば、侵入から発覚まで時間が空くのが実態です。IPAや各種調査でも、侵入から検知までに時間を要する事例は珍しくありません。自組織で問うべきは「侵入があったとき、いつから・どこまで起きたかを後から追跡できるか」です。Web公開システムのアクセスログ・認証ログの保全期間、監視の有無を棚卸ししておく価値があります。
公表の時間差:正確さと迅速さのはざま
判明から公表まで一定の時間がかかるのは、影響範囲の調査や関係機関との調整が必要なためで、それ自体を一概に責めることはできません。ただし個人情報が絡む場合、個人情報保護委員会への報告義務(速報・確報)には期限の考え方があります。「事実確認が終わってから」ではなく、義務としての報告と、対外公表の判断を切り分けて準備しておくことが、いざというときの迷いを減らします。
公益法人・外郭団体のシステムという狙われ方
今回の対象は、行政に近い公益法人が運営する評価システムでした。この種のシステムは、多数の事業所や利用者の情報を集約する一方、運営体制やIT人員が潤沢とは限らないという構図があります。攻撃者から見れば「価値ある情報が集まり、防御が手薄になりがちな窓口」です。
実務者として率直に言えば、外部の共同システムや委託先のセキュリティは、自組織のように細部まで目が届きません。自前のサーバーは監視できても、業界団体や自治体の共同システムに自組織のデータを預けている場合、その防御状況は見えにくいのが現実です。だからこそ、次の視点が要ります。
- 利用側の情シス:自組織が登録・入力しているデータが、どの外部システムにどれだけあるかを把握する。連絡窓口と、障害・漏えい時の通知フローを事前に確認しておく。
- 運営側・委託元:Web公開システムの資産管理と脆弱性対応、認証の堅牢化、ログ監視を「最低ライン」として維持する。人員が薄いほど、初動手順の明文化が効く。
情シスはどうすべきか(公的指針への誘導)
個別の対策チェックリストを一から作るより、まずは公的機関の指針を土台にするのが近道です。今回のような不正アクセス・情報流出に備える初動と体制づくりには、以下が役立ちます。
- インシデント対応の型を作る:IPA「セキュリティインシデント対応 机上演習教材」で、発覚から公表・報告までの流れを一度通しで演習しておく。
- 体制と基本対策の底上げ:IPA「中小企業の情報セキュリティ対策ガイドライン」を、人員の限られた組織の現実的な出発点にする。
- 現場の啓発:不正アクセスの入口は、脆弱性だけでなくフィッシングや使い回しパスワードのことも多い。IPA「対策のしおり」など、地道なユーザー教育の継続が結局は効きます。
加えて、個人情報が絡む可能性がある事案では、個人情報保護委員会への報告要否・期限を早い段階で確認しておくと、公表判断で迷いにくくなります。
まとめ
- 介護評価システム「かなふく評価ガイド」が不正アクセスを受け一時停止。攻撃の可能性は6月10日、判明は6月17日、公表は7月2日。個人情報漏えいの有無は未確定。
- 「検知まで」「公表まで」の時間差は他組織にとっても教訓。ログ保全と監視で“後から追える”状態か、報告義務と対外公表を切り分けて準備できているかを点検したい。
- 公益法人・共同システムは価値ある情報が集まりつつ防御が手薄になりがち。利用側はデータの所在と通知フローを、運営側は資産管理・脆弱性対応・ログ監視という最低ラインを固める。
出典
- Security NEXT「介護サービスの評価システムにサイバー攻撃 – システムを一時停止」 https://www.security-next.com/186451
- 公益社団法人かながわ福祉サービス振興会(介護サービス評価に関する案内ページ) https://www.kanafuku.jp/services/koreifukushi/kaigo_hyouka.html
本記事は公表・報道時点の情報に基づきます。攻撃手法や個人情報漏えいの有無など未確定の事項は、運営元の続報を確認してください。

