株式会社ソリントンシステムズ(東京都新宿区)が開発した大容量ファイル転送サービス「FileZen」の専用サーバーに今年1月に不正アクセスがあり、このサーバーに保存されていた個人情報が外部に漏えいした可能性があると内閣府沖縄総合事務局(那覇市)が4月28日に発表しました。不正アクセスから3カ月後、脆弱性が公表されてから2カ月後の発表のようですが、どのような経緯なのでしょうか?
2月に公表されたCVE-2026-25108
内閣府沖縄総合事務局の発表によると、漏えいした可能性があるのは羽地大川土地改良区に係る土地原簿や港湾関係定時総会資料、那覇―久米島間の令和6年10月~令和7年9月までのフェリー旅客キャンセル料払戻明細表などに記載の氏名やメールアドレス、住所など計1万5091人の個人情報だということです。これらデータは大容量ファイル転送サービス「FileZen」の専用サーバー内にあり、その専用サーバーが不正アクセスを受けたことから外部に漏えいした可能性があるということです。不正アクセスは脆弱性をついたものとしています。
内閣府沖縄総合事務局は「FileZen」の専用サーバーが今年1月に不正アクセスを受けたと明らかにしていますが、ソリントンシステムズでは不正アクセスに関する発表はしていないようです。しかし、2月13日(2月17日最終更新)に「【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について」と題した文章をネットに公開しています。その中でログオン後画面での、特定フィールドへのコマンドインジェクションの脆弱性(CVE-2026-25108)を明らかにし、今年1月13日にリリースした最新バージョンにアップデートすることを求めています。また、この脆弱性により遠隔の第三者によってFileZen内部に対し任意のOSコマンドを実行される可能性があること、この脆弱性の悪用による被害の報告を1件以上受けていることを明らかにしています。
IPA(情報処理推進機構)は2月13日にFileZenの脆弱性CVE-2026-25108を発表しており、この脆弱性を悪用した攻撃が確認されているとして最新版へのアップデートを求めています。IPAはソリントンシステムズがIPAに届け出をしてJPCERT/CCが調整をしたとしていますが、ソリントンシステムズのリリースではJPCERT/CCに届け出をしたとしていて微妙に異なっています。不正アクセスの詳細が明らかでありませんが、ソリントンシステムズは修正バージョンを1月13日にリリース、2月13日にCVE-2026-25108が公開された経緯があるようです。被害者の中に内閣府沖縄総合事務局が含まれていたのは明らかです。内閣府沖縄総合事務局が脆弱性が公開されてから2カ月以上も経って個人情報漏えいの可能性について公表をした経緯は不明ですが、サイバーインシデントの経緯としてはちょっと異質な印象を抱きます。
2021年もFileZenから内閣府の個人情報が「流出」
内閣府は2021年にもFileZenが外部から不正アクセスを受けて個人情報を流出させた可能性があり、その際も未修正の脆弱性が悪用された可能性が指摘されています。この時は内閣府のLANにソリントンシステムズのFileZenサーバーがファイル共有用途で設置されていたということです。
内閣府沖縄総合事務局は、沖縄が1972年に本土復帰したことに伴い設置された国の総合出先機関で、中央省庁の地方機関の業務を統合して代行しているということです。沖縄県のインフラ整備、産業振興に大きな役割を担っている役所です。設立当初は沖縄開発庁の所管でしたが、2001年の省庁再編時に内閣府所管の出先機関になったということです。
【出典】
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.ogb.go.jp/-/media/Files/OGB/Soumu/sintyaku/fuseiakusesu.pdf
https://www.soliton.co.jp/support/2026/006657.html
https://www.ipa.go.jp/security/security-alert/2025/20260213-jvn.html