富士通は2021年8月11日、同社のプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受けた問題について、情報が流出した企業や機関が計129に及んだと発表した。同ツールの脆弱性を悪用されたことでIDとパスワードが流出し、不正アクセスにつながった可能性が高いことも明らかにした。
ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織で情報をインターネット上で共有するためのツール。同ツールは富士通のデータセンターで稼働している。情報流出は2021年5月に判明し、これまで内閣官房内閣サイバーセキュリティセンター(NISC)や国土交通省、外務省、成田国際空港会社などが被害を公表していた。
富士通によると、流出した情報は顧客システムの機器に関する情報やプロジェクトの体制図、作業項目、打ち合わせメモ、進捗管理表など。一部には氏名やメールアドレスなどの個人情報が含まれていた。流出した情報の数などについては「非公表」(広報)とした。
悪意のある第三者は正規のIDとパスワードを使用し、ProjectWEBに不正アクセスしていた。同ツールの脆弱性を悪用し、複数のIDとパスワードを入手した可能性が高いという。
富士通がProjectWEBへの不正アクセスに気付いたのは2021年5月6日。5月25日に第1報を発表したものの、今回の第2報まで3カ月近くを要した。同社は被害の概要に関する発表が遅れた理由について「セキュリティー事案であるため、慎重かつ網羅的に調査を進めた結果」(広報)と説明。すでに外部有識者による「検証委員会」を設置し、調査を進めているとした。
同社は「関係者のみなさまには多大なるご心配、ご迷惑をお掛けしていることを改めて深くおわび申し上げます。引き続き、お客様対応に全力で努め、実効的な再発防止策を講じることにより、早期の信頼回復を目指してまいります」(広報)としている。
