全2438文字
PR

 三菱電機がサイバー攻撃を受け、機密情報が流出した可能性があると2020年1月20日に発表した。同社製ではないウイルス対策システムの脆弱性を突かれ、世界で数十台以上のPCやサーバーが不正にアクセスされた結果、約200Mバイトのデータが流出した恐れがあるという。

 同社によれば、流出したのは個人情報(採用応募者と同社従業員、同社関係会社の退職者の計8122人の情報)と企業機密(技術資料や営業資料など)であり、「社会インフラに関する機微な情報や、機密性の高い技術情報や取引先に関わる重要な情報は流出していない」とのこと。だが、不正アクセスを行ったのは中国系ハッカー集団で、防衛上の機密情報を狙った可能性も指摘されている。同社は「この件に関する記者会見は行わない」(広報部)ため、情報は限られる。

 この事件をどう見るか。現時点までの限られた情報と匿名を条件に、ITセキュリティーの専門家(以下、識者)に聞いた。

(写真:日経クロステック)
[画像のクリックで拡大表示]
(写真:日経クロステック)

三菱電機がサイバー攻撃を受け、情報が流出した。この事件をどう見るか。

識者:一般企業や役所で時々起きる個人情報の流出問題と基本的には変わらないと思う。だが、世間に与えるインパクトは大きい。同社は否定しているが、防衛や原子力関連の情報、顧客企業に関する情報が抜き取られた可能性を完全には否定できないからだ。本当に個人情報だけなら少し騒がれる程度で済むかもしれないが、もしも防衛関連や顧客企業などの重要な情報が流出していたら、三菱電機は防衛省や顧客企業から相当絞られるだろう。

 加えて、三菱電機自身のイメージの悪化や、場合によっては事業に影響が及ぶ可能性もある。同社はセキュリティー関連製品やサービスを幅広く展開しているからだ。今回の不正アクセスはウイルス対策システムの脆弱性を突かれたものであり、同社のセキュリティー関連製品やサービスとは直接関係がない。だが、例えば同社のWebページには「情報セキュリティー対策なしに、企業経営は語れない時代。社内ネットワークへの不正侵入・改ざん、機密データの不正利用・コピーの防止、発見から、社員IDを利用したシステムなど、総合的対策を考えることが重要だ」とある。痛手だろう。

三菱電機は日本を代表するメーカーであり、IT企業でもある。技術力も高い。その企業が不正アクセスを受けた。なぜ、こうしたことが起きるのか。

識者:三菱電機のセキュリティーが甘いとは思わない。当然、他社と比べて外部からの不正アクセスにも強いだろう。ただ、こうした類いの情報流出は、オフィスにいる「人」に依存する。三菱電機であっても、セキュリティーの専門家は全体のごく一部だ。同社で働いている全ての人がセキュリティーに詳しいわけではない。そのため、どうしてもセキュリティールールに違反する人が出てくる。一般には、モラルの低い社員や、派遣社員、一時的な業務委託を受けた人などで違反する例が目立つ。

どのような手口でハッカーは情報を盗むのか。

識者:例えば、従業員がPCで怪しいWebサイトにアクセスし、あるボタンをクリックすると、不正なソフトウエアがダウンロードされ、PCがマルウエア(ウイルス)に感染するケースがある。ボタンをクリックしなくても、「フラッシュプレーヤー(Flash Player)」を開くだけでマルウエアに感染するタイプもある。電子メールの添付ファイルにマルウエアを仕込むケースも依然として多い。差出人が不明の電子メールの添付ファイルを開くと、マルウエアに感染するケースだ。

 このように、マルウエアの感染にはダウンロードによるものと、Web上で勝手に動作するものとがある。後者の場合は特に注意を要する。Webサイトを開くと勝手に不正な処理が進み、不正ソフトをダウンロードされたり実行されたりするからだ。結果、PCに不正ソフトが入り込んでマルウエアに感染。そのPCが遠隔操作されて、社内の情報が盗まれるというわけだ。