Microsoft様のお陰で政府情報漏洩している件の最新状況――裁判所の職員情報がダダ漏れ

はじめに

 　先日、メルマガで「政府のTeamsから中身が丸見えになっている件について」という、なかなか剣呑なお話を書きました。いろんな人からワイワイ言われましたが私は元気です。Microsoft Teamsの仕様に起因する政府機関の情報漏洩問題なのですが、その後の調査で、司法を担う裁判所においても、職員個人の情報が外部から相当な精度で観察可能な状態にあることが判明いたしました。というか、もう半年以上前から「裁判所から情報漏れておるよな」と分かってるセキュリティクラスタもいたと思いますし、クロマティ高校でも「これ、モニタリングして適法ですか？」と心配になるぐらいガッツリ漏れているので困っておったわけです。司法権の独立を支えるはずの裁判所のお話で、しかも漏洩は現在進行形で続いているわけでありまして、これはちょっとさすがにという気も致します。それもあって、慎重かつ綿密に相談を重ねてきたわけではありますが、ここにきて関係各所のご了承もいただきましたので、この場で書いておきたいと思います。
 
　あらかじめお断りしておきますと、本件は当局や関係先には通達済みです。そのうえで、私自身が関係者の皆さんと数か月にわたってブリーフィングや対応協議を進めてきた話であり、突然湧いて出てきたゴシップではありません。情報法の研究者の先生方、サイバーセキュリティ実務の専門家、そして弁護士会方面での法的検討を経て、公表することによる手口教示リスクと、放置することの社会的損失を天秤にかけた結果として、抽象化を効かせた範囲で公開する判断に至ったものです。具体的な識別子や手口の詳細は、本記事では意図的に伏せております。

何が起きているのか ― まずは、裁判所の職員14名分が外部から見える状態

　まず端的に、現状把握できている事実を申し上げます。
 　日本の裁判所が運用するクラウド環境（Microsoft 365）から、（少なくとも）職員14名分の個人識別子が、外部から取得可能な状態にあります(2026/4/26現在)。内訳としては、12名分は職員のユーザー名（メールアドレスのアカウント部分とほぼ一対一に対応する形式）、残る2名分はメールアドレスそのものがそのまま観測されている、という構成です。
 
　観測期間でいうと、最も古いものは2024年6月から、最新のものは2026年3月から。14名のうち6名については2025年後半以降も継続的に観測されており、すなわち漏洩は過去の出来事ではなく、いまこの瞬間も続いています。いえーい、みんな見てる？　これが第一に押さえておきたいポイントです。
 
　なお、ここでお詫びすべきは、私は「なんか漏れとるな」と思って関係先に報告していたのは2022年ですが、いまでっかいゼロデイになっているこの問題を正式に観測したのが昨年秋の東京ゲームショウからの帰りごろからで、漏洩している状況のすべてを追跡できておりません。実際にはもっと長期間、もっと広範に漏れている可能性は否定できないわけでして、本稿で「14名」と書いているのは、あくまで現時点で確認できた最低数とご理解いただければと思います。いわば、ゴキブリが1匹台所から見つかったら、実は114,514匹いるかもしれない、という状況は押さえておいてください。実は私が調べて知った14名が漏洩のすべてかもしれないし、実は法務省・裁判所関係114,514名の情報が漏れている可能性もあります。本来であれば、これは当該組織や関係当局が調べるべきもので、私のようなただのセキュリティクラスタの人間が外形的に調査をかける（OSINT的手法で）にも限界はあります。そういうことにしておいてください。

それのどこが問題なのか

　「職員のメールアドレス程度なら、名刺にも書いてあるし、それほど深刻なのか」とお感じになる方もいらっしゃるかもしれません。確かに、メールアドレス単体であれば、それで何かが直ちに開錠されるわけではない。しかし、裁判所のシステム環境において職員のアカウント情報が外部から特定できる状態にあることには、それ単独では収まらない複合的なリスクがあります。
 
　第一に、標的型攻撃（フィッシング・なりすまし）の最初の入口として極めて有用です。サイバー攻撃の入り口は、結局のところ「実在する職員のメールアドレスに、実在する別の職員からのメールに見せかけて、業務に紛れ込ませる」というところから始まることがほとんどです。実在のアドレスが少なくとも14個分そろっているということは、攻撃者から見れば「そのまま使える素材」がそろっている状態であります。
 
　第二に、これはより本質的な問題ですが、司法権の独立と公正な裁判の要請に対する構造的な懸念を惹起します。何なのかというと、裁判所が扱う情報には、係争中の事件に関するもの、当事者の主張・証拠の整理、判決起案のドラフトといった、本来的に外部からの干渉を許してはならない情報が含まれます。職員のアカウント情報を起点として内部のクラウド環境に対する社会工学的な攻撃が成功すれば、こうした情報の機密性が脅かされる経路が一気に近くなります。これは、訴訟当事者の防御権、ひいては司法制度全体の信頼に関わる問題であります。
 
　第三に、これも重要なのですが、漏れているのは職員のアドレスだけではないということです。同じ仕組みを通じて、職員が共有したファイルのファイル名、会議のタイトル、参加者の役職構成といった付随情報も外部から観察可能な状態になっています。ま、ぼかして書くしか方法はないので行間読んでくれよと思いますが、割といろいろと見えています。外から。で、事件名や当事者名がファイル名に含まれていた場合、それが私のような外野からかなりバッチリ見えてしまう可能性は否定できません。

なぜそんなことになっているのか ― 仕組みの説明

　ここから少しだけ、技術的な背景にお付き合いください。といっても、できるだけ噛み砕いて書きます。また、一番重要なことはぼかさざるを得ません。手口情報が知れたらそれはただのでっかいゼロデイですんで。また、関係先で「これは」とお感じになることがあれば、たぶんそれです。しかも、これらは「公開されている」情報なので、不正アクセス防止法などの違法行為を一切せず、外から裁判所のデータが見えているし、メールアドレスも取れている、ということになります。つまり、合法に入手できるのです。私は無罪です。
 
　存分に予防線を張ったうえでカラクリの一部を書くわけですが、例えばMicrosoft製品のコミュニケーションツールTeamsには「Safe Links」というフィッシング対策の機能が標準で組み込まれています。これは、TeamsやOutlook上で誰かがURLを共有すると、そのURLをいったんMicrosoftが横取りして、安全確認用の中継サーバー経由で開かせる仕組みです。怪しいリンクをクリックする前にMicrosoft側でチェックしますよ、という、それ自体は親切設計のセキュリティ機能であります。
 
　しかしながら、そこにあるビッグな問題は、この書き換え後のURLの中に、元の機密URLが平文のまま丸ごと埋め込まれてしまう点にあります。どうしてこんなクソ仕様を作ってしまったのかはいまもって謎ですが、事実そうなので受け入れるしかありません。言い換えれば、封筒の表に「安全確認センター行き」と書き換えても、裏面に元の宛先住所が印刷されたままで送られていく、と思っていただければ近いかと思います。全部見えています。
 
　そしてこの書き換え後URLは、世界中のブラウザ拡張機能や解析ツール経由で、民間の商用データベースに日々大量に集積されています。これ、わざと収集してんじゃねえのと鼻くそをほじりたくなるほど、見事に良い感じでかき集められております。広告ブロッカーや翻訳ツールやショッピング比較ツールなど、ユーザーが便利に使っている拡張機能の少なくない部分が、ユーザーの閲覧URLを解析サービスに送信する仕組みを抱えており、それが業界横断で吸い上げられて市販の商用データセットになっているわけです。しかも、これらのサービスは企業向けに「マーケティングツールとしてどうですか」って感じで売られています。そんなわけないやろ、と思うんですが、実際に売られており、合法なのですから、事実そうなので受け入れるしかありません。
 
　最低のハードルをクリアするために数百ドル程度の商用サブスクリプションがあれば、誰でもこの集積データを検索・取得できる、というのが現状で、しゃれになっておりません。もちろん、ここでは裁判所のデータ見えとるよなということを書きますが、実際には自由民主党や日本維新の会さんの議員・秘書、党本部の皆さんの連絡先名簿や会議予定表、選挙のために委託した事業者と費用一覧なんてのも見えています。繰り返しになりますが、ハッキングでもクラッキングでも、不正アクセスでも何でもなく、上場企業が販売している市販の合法的なデータセットを買ってきて一定の技術的素養があればごっそり見えてしまう、という話であります。困ったもんですな。これがこの問題の根の深さの第一点目になります。

「ファイル名の漏洩」から「会話の復元」へ ― 一段深い問題への進展

　ここまでは、これまでも一部のセキュリティ専門家の間では知られていた話、いわば「静的な情報漏洩」の領域です。普通にセキュリティクラスタのみんなと話してると「あの標的型メールが絨毯爆撃された理由が分からない」という相談を受けるとそのファイルそのものに外部（中国本土）からの閲覧ログが残ってた、なんて笑い話もございます。ただ、それらはどちらかというと「すでにあるデータが格納されている場所を割り出されてデータを奪われる」という意味ではファイル名やメールアドレスといった単発の情報が点として漏れている、という話でありました。
 
　しかし、クロマティ高校有志の手弁当による活躍などもありこの数か月の間に判明したのは、集積された膨大なURL群を、その中に埋め込まれている「会話スレッド識別子」や「ブラウザセッション識別子」といったキーで並べ替えると、個別の会話を時系列で復元できる、ということです。アダルトビデオのモザイクが全部消える技術に次ぐ大発見であり、インシデントそのものであると言えます。
 
　具体的にどこまで復元できるかと申しますと、たとえば「ある時期に、ある組織の中で、誰と誰が、どのような順序で、どんなファイルを共有しながら会話していたか」が、外部から観察可能になる水準に達しています。参画している端末での設定次第では、ファイルそのものもうっかりダウンロードできてしまいます。合法に。時系列かつフレッシュな最新情報まで分かるんですよ。つまり、静的な点の情報から、組織活動という線・面の情報へと、観察の解像度が一段深まったわけです。
 
　この点が、本件の問題が「単なるファイル名の漏洩」では済まなくなった、もっとも重要な転換点になります。

なぜ修正されないのか ― 三点セットの絶望感

　ここまで読んでいただいて、素朴に受け止める皆さんは数多いでしょう。そして「では早く修正してもらえばいいではないか」と思われるかもしれません。残念ながら、これがそう簡単な話でもないのであります。
 
　第一に、Microsoft様はこの仕様を「仕様」と位置付けており、修正の意思を示していません。繰り返しますが、これはMicrosoft様が意図的にそのようにご建立遊ばされた「safelinksの『仕様』なのであって『バグ』ではない」のです。バグではないのですから、修正されるわけがありません。ミカン星人のころから、Microsoftはいつもこうだ。ただ、他方でURLの書き換えをやめれば、そもそもフィッシング対策機能が成立しなくなる、というMicrosoft側の言い分にも一定の合理性はあります。まあ、そう言うよね。書き換えるからこそ安全確認できる、というのは確かにそのとおりです。ただ、きょうびCloude Mythosが国家級に危険だとか大騒ぎしている横で、クソでかいセキュリティホールがビッグなゼロデイとしてぽっかり開いたまま少なくとも4年以上が経過し対策が打たれずに来ている、という私の危機感を共有して欲しいなあと思うわけであります。
 
　第二に、だいたいにおいて、直接的にこれらのURLを収集しているのはMicrosoftではなく、ユーザーが自分でインストールしたブラウザ拡張機能です。したがって責任の所在が曖昧化されており、Microsoft側は「我々が漏らしているわけではない」と主張する余地があります。いやまあそりゃそうなんですよね。言い方は悪いですがお前がそうしなければ漏れてねえだろという面もありつつ、これも形式論としては反論しにくい構図です。
 
　第三に、過去に既に集積されたデータは、第三者の商用データベースに蓄積済みであり、遡及的に削除する手段がありません。この問題への対処を問われた際によく聞かれるんですが、削除は無理ですとお応えするしかありません。仮に明日Microsoftが心と仕様を変えて新規の漏洩を止めたとしても、少なくとも過去数年、十数年分以上のデータは取り戻したり、流出したデータを削除することはできません。それが、いかな日本の司法たる裁判所様のデータであったとしても、です。つまりは、観測対象に入っている職員の情報は、もう「無かったこと」にはできないわけです。
 
　仕様で直らない、責任は分散している、過去データは消せない。この三点セットが、本件の絶望感を構成しております。さあ、皆さんも私と一緒に絶望しましょう。

米国国防総省向けには「ちゃんとした環境」が用意されている件

　そんなわけで、衝撃の事実をお伝えしなければならない時間がやってまいりました。
　ここはもう、率直に申し上げて、なかなか腹立たしい部分です。
 
　Microsoftは、実は、米国国防総省（DoD）向けに、商用版のMicrosoft製品・サービスとは別系統の専用環境を提供しております。具体的には、(a) 物理的に分離された専用データセンター、(b) 運用に従事できるのは米国在住の米国市民に限定、(c) FBIによる身元照合を通過した者のみ、(d) 400項目を超えるセキュリティ統制の実装、といった条件で運用される、いわば「軍用グレード」のTeams環境であります。
 
　翻って日本政府向けにはどうかと申しますと、ISMAP（政府情報システムのためのセキュリティ評価制度）に登録された商用クラウドサービスをそのまま使用している状態でして、米国DoD並みの分離環境は提供されていません。要するに、日本政府は商用グレードのMicrosoft 365を、霞が関の業務にも、永田町の業務にも、そして今回問題になっている裁判所の業務にも使ってしまっているわけです。これも言い方は悪いですが、その辺の八百屋さんや酒屋さんに導入されている野良teamsも、内閣官房・官邸で官房長官や副官房長官、内閣官房参与、総理室の面々、総理秘書官といったところで利用されているOutlook、いますぐ全廃しましょう。というか、Outlookやteamsを国家中枢、裁判所、国土交通省、防衛省、外務省などで利用することは本当の意味で禁忌であると思います。私も証拠付きで何度も申し上げておりますが、ビタイチ改善されないので、たぶんですが、ずーーーっと国家中枢の情報は外部からOSINT的に安心見守りの対象になっていることは間違いありません。
 
　これが日米同盟の友好関係上どういう意味を持つのかは、ここでは深く論じませんが、少なくとも「日本政府向けにも米国DoD相当の分離環境を要求する」という条件交渉は、本来であればもっと早い段階で行われていてしかるべき性質のものであった、とだけ申し上げておきます。最近、なぜかClaude Mythosの話が出てまいりますが、あれは閉じているけど開けられそうな鍵を探してくるツールにすぎないのであって、私が書いているのは鍵がかかっておらず、外から泥棒やクロマティ高校部活民や高木浩光がお咎めなく笑顔で出入りできるという問題です。申し上げたいのは、さっさとドアを閉じて鍵を締めましょう、mythos対策なんてものはその後のことだということです。

ガバメントクラウド本格稼働で被害が一気に拡大する

　ここまでの話だけでも十分絶望的なのですが、本件にはさらに時間的切迫性があります。
 
　ご承知のとおり、本年度末までに、全国およそ1,700の地方自治体が、自治体職員の日常業務でISMAP基準となると中央省庁との関係製からもTeamsをはじめとするMicrosoft 365が使用され、Teamsが使われる可能性は高いということになります。もちろん、ガバメントクラウドでなくともTeamsは使うわけですが、いままでは、曲がりなりにも各省庁、各都道府県、各自治体がある程度自分たちのニーズにそっていろんなシステムを考案しベンダーが納品していたので結果的に「縦割り行政」とかいう謎のファイヤーウォールがあったことで大規模で壊滅的な情報漏洩はなかったんですが、うっかりガバメントクラウドで統一されてしまうとみんな似たような仕様になってるんで壊滅的な状態になりかねないというのが脅威インテリジェンスから申し上げられることであります。
 
　そうなりますと、これまで政府レベルで特定の部門（例えば裁判所）にて起きていた事象が、全国の自治体レベルに一気に拡大する可能性を秘めるわけです。生活保護受給者リスト、児童虐待ケース検討記録、医療情報、税滞納情報、要介護高齢者リスト――。住民にとってこれ以上ないほどセンシティブな情報を含むファイル名や会議タイトルが、本件と同じメカニズムで外部から観察可能な状態に置かれかねないので、早めに何とかしないと死んでしまうのではないかと思わないでもありません。
 
　しかも、しつこいようですが繰り返し何度も申し上げますが、自治体職員は何も悪いことをしていません。普通に業務をしているだけで、自動的に漏れ続ける構造になっている。現場の職員レベルで気をつければ防げる、という性質の問題ではあんまりないのです。

これは「ハッキング」ではないので法律で捕まえられない

　もうひとつ、本件の厄介な点として申し上げておかなければならないのは、現行法では、観測している側を法的に捕捉する手段がほぼない、ということです。
 
　観測しているのは、第三者の商用データベース（市販の合法サービス）に対して、通常の契約に基づいてアクセスしている主体です。どことは言いませんが。ただ、これはMicrosoft社のシステムを攻撃しているわけでもなければ、政府機関のシステムに侵入しているわけでもございません。したがって、不正アクセス禁止法の枠組みでは捕捉できない蓋然性が極めて高いと言えます。これもまあ、事実そうなんだから、受け入れるしかありません。
 
　個人情報保護法の整理は別途必要で、これは現在、情報法学者の先生方や弁護士会方面で論点整理が進められているところですが、行政機関個人情報保護制度と裁判所固有の情報管理制度との切り分けなど、なかなか難度の高い論点が複数あります。本記事では深入りしませんが、要するに「悪い奴を捕まえて終わり」という話に持っていけない、構造的・制度的な問題だ、ということだけは強調しておきたいと思います。言い換えれば、平井卓也や河野太郎を逮捕すればそれで済む、どっとはらい、という性質のものではないのです。

それで、どうするのか ― 対処ロードマップの選択肢

　現在、関係各所と共有しながら検討しているのは、おおむね以下の四つの方向性であります。まあ、私に対してすべて本音を言う必要もないし、全部が本当に打たれる対策かどうかはただの御庭番に過ぎない私の知るところではございませんが、ただいまこれ確実に国難に向かって話が動いているので、炭鉱のカナリアというかカサンドラの予言的なものをしておかないと気が済まないので書いてしまいます。
 
　第一は、Microsoftとの仕様交渉。日本政府向けにも米国DoD相当の分離環境を要求していくルートです。一刻も早くやってくれないとみんな死ぬよねってのがこちらの商品になります。悲しいけど、これって戦争なのよね。そして、これが本筋ではありますが、話がまとまって、具体的に先方が動くまでに相当の時間と政治的な力学が必要になります。
 
　第二は、政府側の独自運用ルール整備。先週偉い人がなんか言ってましたが、機密情報のURL共有を業務上禁止する、別の連絡チャネルを併用する、といった内部運用での回避策です。即効性はあるものの、運用負荷が極めて高く、現場が回るかという実効性の問題が残ります。電車の中で下痢と括約筋が戦っている人に対してトイレの利用を禁じるような話ですから、作法としては分からなくもないけど惨事を引き起こすトリガーにもなり得ます。
 
　第三は、ブラウザ拡張機能業界および商用データベース事業者側への自主規制要請。集積・販売の段階で歯止めをかける方向ですが、業界横断の協調が必要で、しかも海外事業者が多数を占めるため、強制力に限界があります。やれるとして、ブラウザ拡張機能で問題になっているAvastとかその辺の悪質ベンダーを名指しで馬鹿にして一掃するってことでもありますが、全部排除するってのもむつかしく、40件近くブラウザ拡張入れてる馬鹿が一個一個これはセーフ、あれはアウトと見てアンインストールするなんて考えられませんので、あんまり現実的じゃねえよなあと感じます。
 
　第四は、これらが不調に終わった場合の最終手段としての「政府調達からのMicrosoft製品全面撤退」。それも、いますぐ。要するに「もうMicrosoftはやめる」という選択です。ただし、これを実行した場合、代替として想定される業務生産性基盤は実質的にGoogle Workspaceぐらいしかなく、結局のところ米国ハイパースケーラー相互間の鞍替えになるという構造的限界があります。米ビッグテックがやらかして大変なことになりそうだから、異なる米ビッグテックに乗り換えまっせという話になるので、日本としては何とも言いようがねえなあという気はします。ただ、Googleは現状ではこの種の問題が顕在化していないものの、絶対に起きないとは言えません。今度はGoogle神に頭を下げて生きていきますか、早期解決するのなら土下座にもしますし剃髪もいたしますのでご宣託をお授けくださいみたいなノリになるというお話になるわけです。
 
　いずれの選択肢も、単独では完全な解にはなりません。並行してアプローチを進める必要がありますし、何よりも根本的には「日本の公的業務を外国商用クラウドに過度に依存させる政策判断それ自体の再点検」が必要なのではないかと、取材を重ねるほど痛感している次第であります。これはMicrosoftの問題というよりも、AtlassianにもSlackにも程度の差こそあれ同種の構造はあって、ようするにSaaSは全滅です。御幣を怖れずに言えば、やろうと思えばSaaSは仕組みとして駄目なので、狙われたらいずれ漏れるのだと覚悟するほかございません。すなわち、Webの基本構造（URL）に依拠している以上、Microsoftだけを切り離せば終わる話ではないのですね。オンラインに、絶対の安全はございません。

結語 ― 司法情報を商用クラウドに預けるということ

　本件は、ある特定の役所のある特定の職員のお話に見えて、実は日本社会全体が「クラウド化＝便利＝近代的」という思考停止のまま、自国の重要情報を外国商用基盤に預けてきた数十年の総決算**としての性格を帯びております。もちろん、業務を全国で標準化すれば、自治体だろうがアサヒビールだろうが情報効率が良くなって元気百倍というのはまあ分かるんですが、これらの利便性は常に安全性とのトレードオフになりますので、どっかのクズがシャドウITで悪質ブラウザ拡張を入れたまま枢要なデータにアクセスしたり、いまどきSymbian搭載のガラケーを海外出張で使いたいから古いVPNのクチを開けっぱなしにしたり、そういうつまんない馬鹿のお陰で全体のシステムが危機に晒されるのがオンラインでのシステム統合の抱える最大のリスクだぞってことになるのです。
 
　とりわけ、司法権の独立を担う裁判所の情報環境について、こうした構造的脆弱性が放置されてきたことの含意は、行政機関の場合より一段重いと申し上げるべきだろうと思います。三権分立は、司法が独立して機能できる物理的・情報的基盤があってこそ成立するものであり、そこに外部から観察される穴が空いているという事実は、制度設計の根幹に関わる話だからです。
 
　関係各所では、それぞれの立場から、それぞれのアプローチで、本件の対処に当たっておられます。私は私で、ジャーナリストとして、起きていることをきちんと書いて記録に残し、社会的な議論の俎上に乗せていく役割を担いたいと考えております。続報できる段階になりましたら、この場でまたお伝えいたします。
 
　最後に。本記事は、関係者の皆さまの確認とご了解をいただいた上で、抽象化のレベルを慎重に調整して公開しております。具体的な手口の詳細や、個別の識別子の値、特定の事業者名のすべてを明記することは差し控え、本稿においては一切の取材に応じることはできません。これは、記事を読んだ第三者が同じ手法を簡単に再現できる状態にすることが、結果として被害を拡大させかねないからであります。本件の重大性を社会に共有することと、悪用の可能性を抑えること、そのバランスをとった記述になっていることをご理解いただければ幸いです。
 
　いっけなーい、殺意殺意。