三菱電機は1月20日、同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを確認し、その概要と対応について発表した。
同社によると、昨年6月28日同社内の端末で不審な挙動を検知し調査した結果、第三者による不正アクセスを受け、外部にデータを送信されていたことがわかった。
監視や検知をすり抜ける高度な手法であるとともに一部の端末において、送信されたファイルを特定するためのログ(操作記録)が攻撃者によって消去されていたことから調査に時間を要し、不正アクセスで個人情報と企業機密が外部に流出した可能性があることが判明した。なお、関係機関には報告済みだという。
流出した可能性のある機密情報は、個人情報 ・採用応募者情報1987人(2017年10月入社~2020年4月入社の新卒採用応募者と2011年~2016年の経験者採用応募者)、同社の従業員情報4566人(2012年に本社所属者に対し実施した人事処遇制度運営に関するアンケート調査結果)、同社の関係会社退職者の情報1569人(三菱電機グループ企業年金基金が所有する退職者情報:2007年~2019年の一時金受給者)の計8122人に加え、技術資料・営業資料など。
外部へ実際に流出したかについては、一部の端末でログが消去されていることなどから特定できていないため、流出した可能性のある最大数を示している(推定200MB)。
今回の流出の原因は同社が利用するウイルス対策システムのセキュリティーパッチ公開前の脆弱性を突いた第三者の不正アクセスが原因だという。今後の対応として(1)個人情報が流出した可能性のある人への対応は報告とお詫びの文書の郵送を1月20日に開始するとともに、問い合わせに対する専用窓口を設置、(2)流出した可能性のある企業機密に関係する顧客への対応は状況の報告を行っているという。
再発防止策については、事態を厳粛に受け止め、調査結果を踏まえて情報セキュリティ対策および監視体制の強化を行い、再発防止を図る考えだ。
