皆様の情報セキュリティ対策が「利害関係者」全体を守る

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.11.28

（更新：2024.4.17）

少し前になりますが2023年11月27日、日本経済新聞電子版に、大手通信アプリサービス企業から個人情報などの漏洩の可能性がある旨の記事が掲載されました。

以下に要点を引用します。

〇L社、個人情報流出発表　N社経由で44万件か

「L社は27日、同社のサーバーが第三者から攻撃され、提供する通信アプリサービスの利用者情報など約44万件が流出した可能性があると発表した。大株主である韓国ネット大手N社と一部システムを共通化していたことが一因だ。（中略）

L社とN社は一部の社員向けシステムを使うための認証基盤を共通化している。この認証基盤が通信アプリサービスへのサイバー攻撃への糸口となったとみられる。

まずN社の子会社の取引先のパソコンがマルウエア（悪意のあるソフトウエア）に感染した。その後に共通の認証基盤が使われ、L社のサーバーも攻撃を受けたようだ。N社は27日、『N社側の被害は確認されていない』とコメントした。」　（後略）

（以上参照：https://www.nikkei.com/article/DGXZQOUC270BU0X21C23A1000000/　）

追伸：残念ながら、2024年2月15日付の日経朝刊には、さらに5.7万件の旧L社従業員の情報も流出した可能性がある旨の続報もありました。

〇中小事業者様はサイバー攻撃の「踏み台」にされるケースにもご注意

この事案では、最初に外部から攻撃を受けたのはL社ではなく、N社の子会社の取引先のパソコンでした。

攻撃者はこのPCを踏み台にしてL社も利用する共通の認証基盤に侵入し、さらにL社のサーバーも攻撃し、情報を盗み出した、という攻撃の経路予想が示されています。

この点に私達中小の事業者は特に注目し、気を引き締めるべき、と思います。

中小の事業者様が大手の企業グループと連携して製品やサービスを提供する場合、上記「共通の認証基盤」のような相手方のシステムを、ユーザーとして利用するケースも多いと思われます。

その際、通常は大手企業側の情報セキュリティポリシーに従い、中小の事業者様は十分な対策を施したうえでシステムへのアクセスを行うはずですが、

もしも何らかの手違いや考慮漏れから、セキュリティ上の脆弱性があるPC等の利用が許容されてしまうと、攻撃者はその隙をついて中小事業者様の機器やアカウントなどを乗っ取り、さらには目指す大企業への攻撃を成功させてしまう可能性も、ありえると思います。

〇皆様の情報セキュリティ対策が「利害関係者」全体を守ることに

中小の事業者様ですと、

「ウチみたいな小さな事業者なんて、攻撃者は狙わないだろう。」

「仮にサイバー攻撃を受けて情報漏洩が起こっても、困るような秘密情報なんてない。」

と、謙遜の気持ちも込めてお考えの場合もあるかもしれません。

しかし、冒頭の事案では、最初に狙われたのは「N社の子会社」でした。

セキュリティ対策の「穴」を見つけるために、攻撃者は小さな事業者を狙うことは珍しくありません。

そして、44万件超の通信アプリサービス利用者の個人情報が漏洩したとみられます。

「困るような秘密情報なんてない。」といえる状況ではありません。

取引先を含め、皆様の「利害関係者」全体を守るためにも、中小の事業者様にとっても、情報セキュリティ対策は非常に重要であり、事業運営上の重要要件であることがわかると思います。

日ごろから情報セキュリティ対策を進められますよう、強くお勧めいたします。

何から始めたらよいだろうか？　といった迷いがおありなら、

まず「できるところから始めて段階的にステップアップ」　に取り組むことをお勧めいたします。

＊ご参考ブログ：本当に「情報セキュリティ対策なんてウチには関係ない」でしょうか？

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。