検索
連載
半径300メートルのIT:

三菱電機の情報漏えい事件から見えること 「守り方」のシフトチェンジを (1/2)

2019年6月に判明した不正アクセスが、2020年1月にスクープ報道されました。「あれ?」と思われる方も多いでしょう。筆者もその一人です。この違和感をたどって「セキュリティ対策のあるべき姿」を考えてみます。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 セキュリティ関係者のみならず、社会的にも大きなインパクトを与えそうな事件が判明しました。三菱電機の情報漏えい事件です。

三菱電機、約8000人の個人情報流出か ウイルス対策システムにゼロデイ攻撃 - ITmedia NEWS

 2020年1月20日、三菱電機が大規模なサイバー攻撃を受け、情報が漏えいした恐れがあるというニュースがありました。三菱電機はその日のうちに企業Webサイトにて不正アクセスの事実を認める文書を公開。今後の対応について述べています。

三菱電機 不正アクセスによる個人情報と企業機密の流出可能性について(2020年1月20日)

報告書
三菱電機の公開した報告書(出典:三菱電機)

 三菱電機の資料によれば流出した可能性のある機密情報は、採用応募者情報1987人、従業員情報4566人、退職者情報1569人分の個人情報。また、技術資料や営業資料なども流出の可能性があるとのこと。外部へ実際に流出したかどうかについては「一部の端末のログが消去されていることなどから特定できていない」とし、流出件数は流出した可能性のある最大数を示したものとしています。

 同社は情報流出の原因について、第1報では「当社が利用するウイルス対策システムの脆弱(ぜいじゃく)性を突いた第三者の不正アクセス」と述べています。

 侵入経路や攻撃が拡散していったいきさつなどの詳細は発表されていません。そのため深く論じるのは難しいのですが、現時点で個人的に気になった点をピックアップしたいと思います。

不審な挙動を発見したのは「2019年6月28日」だったが……

 三菱電機が発表したレポートによれば、同社が不審な挙動を認識したのは2019年6月28日。しかし、本件が明らかになったのは2020年1月20日でした。しかも、報道機関によるスクープという形です。今回の報道について私たちが注目すべきは「それが企業とユーザーにどのようなインパクトをもたらすか」という点でしょう。

 筆者はセキュリティに関する事件について、発表による二次被害がない限り、判明したら速やかに対外発表を行うべきと考えています。2019年に大きな話題となった「7pay」事件の際は、関係者が関連団体と協力しつつ認証機能停止を模索していたタイミングで報道によってシステムの脆弱性が広く知られました。結果、利用者が模倣犯による危険にさらされました。

【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか:「今知りたい! システムを守る認証の実態」セミナー - @IT

 2020年1月20日の報道が三菱電機にとって意図しないものだった場合、それまで三菱電機は「報道することで起こりうる二次被害」を考慮していた可能性があります。同社が今後発表するであろうレポートには、不正アクセスの問題とは別に「社内からどうやって新聞社に情報が渡ったのか」「本来であれば、どのようなタイミングでの発表を予定していたのか」などの記載を期待したいところです。今後の参考になるでしょう。

 ただし第一報の中で、三菱電機は「現在まで、本件に関わる被害や影響は確認されておりません」と明記しています。被害が確認されておらず、発表による二次被害の可能性も低いなら、もっと早いタイミングで発表するべきでした。今回の「不正アクセスの判明から半年近くたった後、報道機関によってスクープ報道される」という事例は、三菱電機のさまざまな課題を浮き彫りにしています。

       | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る