2019年6月に判明した不正アクセスが、2020年1月にスクープ報道されました。「あれ?」と思われる方も多いでしょう。筆者もその一人です。この違和感をたどって「セキュリティ対策のあるべき姿」を考えてみます。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ関係者のみならず、社会的にも大きなインパクトを与えそうな事件が判明しました。三菱電機の情報漏えい事件です。
三菱電機、約8000人の個人情報流出か ウイルス対策システムにゼロデイ攻撃 - ITmedia NEWS
2020年1月20日、三菱電機が大規模なサイバー攻撃を受け、情報が漏えいした恐れがあるというニュースがありました。三菱電機はその日のうちに企業Webサイトにて不正アクセスの事実を認める文書を公開。今後の対応について述べています。
三菱電機 不正アクセスによる個人情報と企業機密の流出可能性について(2020年1月20日)
三菱電機の資料によれば流出した可能性のある機密情報は、採用応募者情報1987人、従業員情報4566人、退職者情報1569人分の個人情報。また、技術資料や営業資料なども流出の可能性があるとのこと。外部へ実際に流出したかどうかについては「一部の端末のログが消去されていることなどから特定できていない」とし、流出件数は流出した可能性のある最大数を示したものとしています。
同社は情報流出の原因について、第1報では「当社が利用するウイルス対策システムの脆弱(ぜいじゃく)性を突いた第三者の不正アクセス」と述べています。
侵入経路や攻撃が拡散していったいきさつなどの詳細は発表されていません。そのため深く論じるのは難しいのですが、現時点で個人的に気になった点をピックアップしたいと思います。
三菱電機が発表したレポートによれば、同社が不審な挙動を認識したのは2019年6月28日。しかし、本件が明らかになったのは2020年1月20日でした。しかも、報道機関によるスクープという形です。今回の報道について私たちが注目すべきは「それが企業とユーザーにどのようなインパクトをもたらすか」という点でしょう。
Copyright © ITmedia, Inc. All Rights Reserved.