EYデータ漏洩 - ハッカーが第三者ITサポートプラットフォームにアクセスしクライアントの税務書類を盗む
EY(アーンスト・アンド・ヤング)は、第三者のITサービス管理プラットフォームが不正アクセスを受け、クライアントの個人情報や財務情報を含む文書が流出したことを確認しました。この事件は2026年4月23日に発覚し、攻撃者は約2週間にわたりプラットフォーム内で活動していたとされています。EYは影響を受けたクライアントに通知を行い、24ヶ月間の信用監視サービスを提供することを発表しました。今回の漏洩は、EYにとって約9ヶ月間で2度目の重大なデータ漏洩事件となります。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ EYは、第三者のITサービス管理プラットフォームが不正アクセスを受け、クライアントの税務書類が流出したことを確認しました。
- ✓ EYは影響を受けたクライアントに対し、24ヶ月間の信用監視サービスを提供することを発表しました。
社会的影響
- ! この事件は、企業が顧客の個人情報をどのように管理しているかに対する信頼を損なう可能性があります。
- ! 特に税務情報は非常に機密性が高いため、流出による影響は深刻です。
編集長の意見
解説
EY税務文書が第三者ITSMから流出──“チケットに王冠の宝石”という慢性的なサプライチェーンの盲点が突かれました
今日の深掘りポイント
- 第三者のITサービス管理(ITSM)基盤は、多国籍企業の機密データを横断的に集約する“見えにくい集中点”です。攻撃者にとっては一箇所で複数組織の税務・個人情報に到達できる高利得ターゲットです。
- 税務書類は国家級の諜報価値を持ち、BECや個人なりすましだけでなく、制裁・輸出規制監督や取引交渉への情報優位にも直結します。単なる個人情報漏えいの枠を超えたリスク評価が必要です。
- 公表情報が示す滞在期間は約2週間、検知は活動停止後およそ11日後です。ITSMというSaaS越境領域でのMTTD/MTTR短縮は、従来の社内EDRやプロキシの延長線では届きません。SaaS監査ログとベンダー側UEBAの活用が要です。
- “添付ファイル中心”の運用はもはや限界です。機微書類はチケット本文・添付から切り離し、権限制御の効いたDMS保管+ワンタイム・スコープトークン参照へ移行すべきです。
- 本件は信頼性が高く、短期の実務対応に直結する類型です。影響範囲の特定、脆弱なワークフローの段階的な封じ込め、ベンダー契約の再設計を同時並行で進めるべきです。
はじめに
ビッグ4の一角であるEYで、第三者のITサービス管理プラットフォーム(ITSM)が侵害され、クライアントの税務関連文書が流出しました。見過ごされがちですが、ITSMは“支援のためだけの周辺SaaS”ではありません。実務の便宜で税務申告書、本人確認書類、国際税務の根拠資料などが添付され、結果として企業と個人の“生活史”に近い情報が堆積します。攻撃者が狙うのは往々にしてファイアウォールの外縁ではなく、運用の折り目が生む隙間です。今回の事件は、その隙間の形を私たちに具体的に示したと言えます。
深掘り詳細
事実関係(現時点で公表されていること)
- EYは、第三者ITSMが不正アクセスを受け、クライアントの個人情報・財務情報を含む税務書類が流出したと公表しています。発見は2026年4月23日、攻撃者は2026年3月28日から4月12日まで約2週間活動していたとされています。影響顧客には通知し、24ヶ月の信用監視サービスを提供しています。影響は限定的な顧客にとどまるとの報道です。今回の漏洩は約9ヶ月で2度目の重大事案と伝えられています。出典: GBHackers
- 上記の日付関係からみて、活動停止(4/12)から検知(4/23)までは約11日あります。ITSM上の不正操作やデータ持ち出しを、EY側・ベンダー側いずれかの監視で捉え、事後的に封じ込めを図ったとみられます(公表情報の範囲内での整理です)。
注: 第三者ITSMの具体名、侵入起点の技術的詳細、流出点数や種別の精密な内訳は、一次公表情報の範囲では特定されていません。本稿では確定情報と仮説を明確に分けて論じます。
編集部のインサイト(なぜ起きたか、どこが本質か)
- 集約点の過小評価が本質です。ITSMは複数事業部・複数法域・複数顧客の“支援履歴”を一元化するため、税務・法務・人事など横断の添付が自然発生します。結果的に、取引スキーム、受益者実体(UBO)、本人確認書類、租税条約適用資料、口座識別子などが、DMSより緩い統制のもとに集まります。攻撃者にとっては“一射多獲”のハブです。
- 添付中心ワークフローがリスクの温床です。セキュアDMS→リンク共有という手順は手間がかかり、現場はチケットに直接添付しがちです。ITSMの一部実装では、添付オブジェクトが別ストレージに保存され、アクセス制御やログの粒度が本体設定と非同期になることもあります。これが“監査ログはあるが、振り返ると粗い”という事後対応の壁になります。
- 税務データは“攻撃の素材”として二次利用性が高いです。BECの文脈だけでなく、対外折衝・制裁リスク評価・投資判断への圧力に転用できるため、サイバー犯罪から国家主体まで広い攻撃者集合にとって価値があります。従来の「個人情報の流出=消費者保護問題」という枠組みだけでなく、地政学的・取引戦略的な影響評価が要ります。
脅威シナリオと影響
以下は公表情報に基づく仮説シナリオで、MITRE ATT&CKに沿って整理します。実際の手口は異なる可能性があるため、あくまで検討材料として提示します。
-
シナリオA:ベンダー側アカウントの資格情報悪用
- 初期侵入: Valid Accounts(T1078)、外部リモートサービス(T1133)
- 権限昇格/横移動: Exploitation for Privilege Escalation(T1068)またはロール誤設定の悪用
- 発見回避: Impair Defenses(T1562)や監査設定の変更
- 収集: Automated Collection(T1119)、File and Directory Discovery(T1106/T1083系)
- 流出: Exfiltration Over Web Services(T1041)、Exfiltration to Cloud Storage(T1567)
- 兆候: API経由の大量添付ダウンロード、非業務時間帯・新規デバイス指紋からの一括エクスポート
-
シナリオB:ITSMの公開コンポーネント脆弱性の悪用
- 初期侵入: Exploit Public-Facing Application(T1190)
- 永続化: 新規アカウント作成(T1136)、APIトークンの長期化
- 収集/流出: Aと同様
- 兆候: 既知CVEに紐づく異常なHTTPパターン、添付ストレージのリスト取得→順次GET
-
シナリオC:SSO/OAuth連携のトークン奪取
- 初期侵入: Steal Web Session Cookie(T1539)、Modify Authentication Process(T1556)
- 永続化: 長寿命リフレッシュトークンの保持
- 収集/流出: Aと同様
- 兆候: IdP上の不審なユーザー認証連鎖、SSOなしのAPI直叩き
想定インパクト(技術+業務):
- 技術面: 監査ログの保全性・粒度がインシデント解明を左右します。ITSM本体、添付ストレージ、CDN、IdPのクロス相関が必要です。
- 業務面: 税務資料は本人特定情報(旅券/納税者番号等)、銀行明細、受益者情報、国際取引スキームを含むため、なりすまし申告、国際送金詐欺、サプライヤ成り済まし、交渉材料化(情報圧力)などに波及します。複数法域の通知義務・制裁リスク審査・民事訴訟が重層的に発生し得ます。
本件の緊急度は高く、また再発可能性も高い類型です。ITSMというサプライチェーンの集約点に対する統制が未成熟である限り、同等の事案は他社でも起き得ます。迅速な行動と中期の構造改革を同時に走らせるべき局面です。
セキュリティ担当者のアクション
-
初動(72時間以内)
- 影響判定: 自社が当該ITSM経由でEYとやり取りしていたかを棚卸し。対象期間(2026/3/28–4/12)のチケットID、添付一覧、関与者を特定します。
- 監査と封じ込め: 当該ITSM/IdPの監査ログを保全し、以下を相関確認します。
- 新規/非常用アカウントの作成・権限変更
- 添付の一括ダウンロード、エクスポート機能の多用
- 不可能移動・匿名プロキシ/海外ASからのアクセス
- 顧客・役員対応: 該当チケットに添付されていた書類類型(税番号・旅券・口座明細・受益者情報など)ごとに、二次被害可能性を明文化し、関係者に個別周知します。24ヶ月の信用監視に加え、税務なりすまし対策(国・地域の制度に応じた申告ロック/本人確認強化)も案内します。
-
7〜30日で着手
-
“添付ゼロ”設計へ移行: ITSMの添付機能を原則停止し、機微書類は権限制御の効いたDMSに保管。チケット側は短寿命・スコープ限定のアクセストークン(ワンタイムURL)で参照し、アクセスは全件記録・透かし付与・時間/IP制限を強制します。
-
ログと検知の近代化:
- ITSM/添付ストレージ/CDN/IdPのログ粒度をエクスポートし、UEBAで「一括取得」「異常時刻帯」「新規デバイス+大量アクセス」をルール化。
- APIキー/トークンの使用状況を可視化し、長寿命トークンの全廃・ローテーション自動化。
-
ベンダー契約の再設計:
- 監査ログの保持期間(≥1年)、管理者行為の不可逆記録、SAML/JIT/MFA必須、IP許可リスト、サポートアクセスのJIT化(時間制限・監査証跡)をセキュリティ付帯条項に明記。
- インシデント通知SLA(検知から通知までの時間、提供すべきIOC/テレメトリの範囲)、第三者監査(SOC 2 Type II/ISO 27001)+ペンテスト実施とサマリ提供を義務化。
-
権限とワークフローの整流化:
- ロール最小化、プロジェクト/顧客単位のセグメンテーション。サポート担当が“全顧客の添付を横断検索”できない設計に。
- チケットテンプレートで機微情報の本文入力を禁止し、DLPで検出(納税者番号/旅券番号/IBAN等のパターン)時に投稿ブロック。
-
-
90日以内の構造改革
- SaaSセキュリティ態勢(SSPM/CASP)の導入: 設定ドリフト検出、過剰共有検知、外部リンクの期限切れ自動失効を包括的に管理します。
- レッド/パープルチーム演習: “ITSMからの一括持ち出し”を仮想シナリオに据え、SOCの検知〜封じ込めの成熟度を測定。チケットDLP・APIレート制限・JIT認可がどこで効くかを可視化します。
- 事業継続と法務の連携: 多法域の規制通知(GDPR/CCPA等)と、取引上の表明保証/守秘義務条項に基づくリスク配賦を標準オペレーションに落とし込みます。
-
具体的な検知アイデア(ベンダー非依存の観点)
- 「N分間にX件以上の添付ダウンロード」「単一チケット外の横断的添付アクセス」「直近90日未使用アカウントからのAPI連続呼び出し」を高優先度アラート化。
- IdP側で“特権ロール付与/変更”に対するリアルタイムWebhook通知と承認ワークフロー。
- DLP/UEBAの相関で、旅券番号・納税者番号・銀行口座識別子の出現をトリガに自動マスキング/投稿抑止。
-
影響顧客向け周知(自社が送るべき推奨)
- 信用監視への登録だけでなく、税務のなりすまし申告や高額融資申請、国際送金の不正指示といった“税関連ならでは”の二次被害パターンを明記し、問い合わせ導線を一本化します。
- 役職員のBEC対策強化(送金前の非電子系コールバック手順、取引先名と口座名義の不一致検知)を、該当期間の関係部署に短期集中で徹底します。
参考情報
- EY data breach – Third-party IT support platform hacked to steal clients’ tax documents(GBHackers): https://gbhackers.com/ey-data-breach-third-party-it-support-tax-documents/
本件は、誰もが日々使う“チケット”という道具箱に、想像以上の宝物が無造作に置かれている現実を突きつけました。添付をなくす、見える化する、そして分ける。シンプルですが、ここに戻ることが王道です。今日の調整が、明日の大規模流出を一つ減らします。次のインシデントの主役にならないために、今から動き出すべきです。
背景情報
- i EYは、クライアントの税務業務を支援するために第三者のITサービス管理プラットフォームを利用しています。このプラットフォームでは、サポートチケットに機密性の高い税務書類が添付されることが一般的ですが、これがリスクを伴うことが指摘されています。
- i 不正アクセスは2026年3月28日から4月12日の間に行われ、EYの情報セキュリティチームは4月23日に異常な活動を発見しました。これにより、攻撃者は約2週間にわたりプラットフォーム内で活動していたことが明らかになりました。