国立国会図書館は2025年11月11日、開発中の館内サービスシステムに不正アクセスが発生したと発表した。
同館が株式会社インターネットイニシアティブに外部委託していたシステムのリプレース開発において、11月5日に再委託先である株式会社ソリューション・ワンのネットワークが何者かの侵入を受けたことに起因し、開発環境に不正アクセスが行われた。
不正アクセスの影響は開発環境に限定されており、国立国会図書館の各種サービスや情報基盤への影響は確認されていない。しかし、開発環境のサーバ構成情報等、システム開発に用いる情報、一部の利用者情報及び利用情報が漏えいした可能性がある。国立国会図書館は当該開発環境へのアクセスを遮断し、各種情報環境への監視を強化している。
From: 
開発中のシステムに対する不正アクセスの発生について
【編集部解説】
今回の国立国会図書館における不正アクセスは、2025年に急増しているサプライチェーン攻撃の典型例です。実は今年、このタイプの攻撃は例年の2倍のペースで発生しており、攻撃者は直接の標的ではなく、委託先や再委託先という「最も脆弱な環」を狙う傾向が顕著になっています。
本事案で注目すべきは、攻撃の起点が再委託先である株式会社ソリューション・ワンのネットワーク侵入だった点です。これは多層的な委託構造における脆弱性を露呈しています。開発環境という「本番ではないが機密情報を含む領域」が狙われたことで、サービス自体への直接的な影響は回避できましたが、システム構成情報や利用者情報という攻撃者にとって価値の高いデータが漏えいした可能性があります。
2025年には、F5ネットワークスやオラクルクラウドといった大手テック企業でも同様の開発環境への侵入事例が報告されており、開発フェーズのセキュリティ管理が新たな課題として浮上しています。開発環境は本番環境ほど厳重に監視されないケースが多く、攻撃者はこの隙を突いて長期間潜伏することで、ソースコードや未公開の脆弱性情報を窃取します。
日本においても、2023年のNorthGrid社のファイル転送ソフト「Proself」のゼロデイ脆弱性悪用事例など、サードパーティ製ソフトウェアを介した攻撃が増加傾向にあります。
今回のインシデントは、公的機関のデジタル化推進における新たなリスクを示唆しています。システムのリプレースという近代化プロセスそのものが攻撃対象となり得る時代において、委託先管理の重要性が一層高まっています。組織のサイバーセキュリティは「最も弱いベンダーと同じ強度しか持たない」という原則が、改めて証明された事案といえるでしょう。
【用語解説】
サプライチェーン攻撃
直接の標的組織を攻撃するのではなく、その取引先や委託先企業など、セキュリティ対策が相対的に脆弱な組織を経由して本来の標的に侵入するサイバー攻撃手法である。攻撃者は信頼関係を悪用し、複数の組織を連鎖的に侵害することで最終目標に到達する。
開発環境
本番環境とは別に、システムやソフトウェアの開発・テストを行うための環境である。本番稼働前の機能検証や不具合修正を行う場所であり、システム構成情報やソースコード、テストデータなどが保管されている。本番環境ほど厳重に監視されないことが多く、攻撃者に狙われやすい。
リプレース
既存のシステムを新しいシステムに置き換えることである。老朽化したシステムの刷新や、新技術への対応、保守コスト削減などを目的として実施される。移行期間中は新旧システムが並行稼働することもあり、セキュリティ管理が複雑化する。
再委託
業務を委託された事業者が、その業務の一部または全部を別の事業者に再度委託することである。多層的な委託構造が形成されると、元の発注者によるセキュリティ管理の監督が届きにくくなり、リスクが増大する。
【参考リンク】
国立国会図書館(外部)
日本の国会に属する唯一の国立図書館。国内で出版されたすべての出版物を収集・保存する納本図書館として機能している。
株式会社インターネットイニシアティブ(IIJ)(外部)
1992年設立の日本初の商用インターネット接続事業者。ネットワーク関連サービスの提供、システムの構築・運用保守を行う。
株式会社ソリューション・ワン(外部)
システム設計・開発から運用・保守まで一貫したトータルソリューションを提供するITプロフェッショナル集団。
国立国会図書館オンライン(NDL ONLINE)(外部)
2018年1月5日開始の所蔵資料検索・申込システム。蔵書検索、複写依頼、デジタルコレクション閲覧が可能。
【参考記事】
Supply Chain Attack Statistics 2025: Costs, Cases, Defenses(外部)
2025年のサプライチェーン攻撃に関する統計データと防御策を包括的に分析した記事。
Ransomware Attacks: 2025 Threats Targeting Supply Chains(外部)
2025年におけるランサムウェア攻撃がサプライチェーンを標的にしている脅威動向を分析。
【編集部後記】
今回のような事案を「対岸の火事」と思っていませんか。実は私たちの誰もが、気づかないうちにサプライチェーンの一部になっています。取引先から届くメールの添付ファイル、毎日使っているクラウドサービス、外部ベンダーに委託している業務——これらすべてが潜在的な侵入経路になり得ます。
自社のセキュリティがどれほど強固でも、委託先の脆弱性が突破口になってしまう現実を、この事案は突きつけています。皆さんの組織では、委託先のセキュリティ体制を定期的にチェックしていますか。「信頼しているから大丈夫」という思い込みこそが、最大のリスクかもしれません。
