日本経済新聞社は11月4日、一部業務に利用しているビジネス向けコミュニケーションツール「Slack」に不正ログインがあったと発表した。同社社員および取引先の情報が流出した疑いがあるという。
-
業務用チャット「スラック」への不正ログインと情報流出について : 最新情報|日本経済新聞社
不正アクセスの経緯と情報流出
日本経済新聞社の発表によると、不正ログインの原因は同社社員が個人的に保有しているコンピュータのマルウェア感染だという。攻撃者はマルウェアを介して同コンピュータからSlackの認証情報を窃取し、同社員のSlackアカウントに不正ログインしたとみられている。
同社は9月に被害を把握してパスワードを変更する対策をとったが、Slackに登録されていた氏名、メールアドレス、会話履歴など1万7368人分の情報を流出した可能性があるという。これまでに取材先や取材に関する情報の流出は確認されていない。
被害件数が多く広範囲に影響したとみられるが、同社は個人情報保護法の適用外の事案だと述べている。しかしながら、重要性および透明性の確保を理由に、個人情報保護委員会に任意で報告したという。
シャドーITが狙われている
今回の件により、改めて、シャドーITのリスクが浮き彫りになったといえる。従業員は時として利便性を理由に個人所有のコンピュータを業務に使用するが、これら組織の管理外に置かれたコンピュータ(シャドーIT)は組織が導入している高度なセキュリティ保護の適用外となる。
攻撃者はこのようなセキュリティの甘いコンピュータを積極的に狙っており、侵害に成功するとそのコンピュータを踏み台にして情報窃取、社内ネットワークへの横移動などを行う。横移動ができないケースにおいても、入手した情報から高度なソーシャルエンジニアリング攻撃を実行してセキュリティ知識の乏しい社員のコンピュータに直接マルウェアを展開するケースがある。
今後、追加のサイバー攻撃も予想され、情報流出の影響を受けた個人および企業には警戒の強化が推奨される。また、同様の被害を回避するため、シャドーITを含む最新のサイバーセキュリティ環境について徹底した社員教育を実施することが望まれている。
ANAが挑む、サイバーレジリエンス強化のための「予防」と「集団防衛」
