投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.11.28
(更新:2024.2.15)
2023年11月27日、日本経済新聞電子版に、大手通信アプリサービス企業から個人情報などの漏洩の可能性がある旨の記事が掲載されました。
以下に要点を引用します。
「LINEヤフーは27日、同社のサーバーが第三者から攻撃され、LINEアプリの利用者情報など約44万件が流出した可能性があると発表した。大株主である韓国ネット大手ネイバーと一部システムを共通化していたことが一因だ。(中略)
LINEヤフーとネイバーは一部の社員向けシステムを使うための認証基盤を共通化している。この認証基盤がLINEへのサイバー攻撃への糸口となったとみられる。
まずネイバー子会社の取引先のパソコンがマルウエア(悪意のあるソフトウエア)に感染した。その後に共通の認証基盤が使われ、LINEヤフーのサーバーも攻撃を受けたようだ。ネイバーは27日、『ネイバー側の被害は確認されていない』とコメントした。」 (後略)
追伸:残念ながら、2024年2月15日付の日経朝刊には、さらに5.7万件の旧L社従業員の情報も流出した可能性がある旨の続報もありました。
〇中小事業者様はサイバー攻撃の「踏み台」にされるケースにもご注意
この事案では、最初に外部から攻撃を受けたのはL社ではなく、N社の子会社の取引先のパソコンでした。
攻撃者はこのPCを踏み台にしてL社も利用する共通の認証基盤に侵入し、さらにL社のサーバーも攻撃し、情報を盗み出した、という攻撃の経路予想が示されています。
この点について私達中小の事業者は特に注目し、気を引き締めるべきだと思います。
中小の事業者様が大手の企業グループと連携して製品やサービスを提供する場合、上記「共通の認証基盤」のような相手方のシステムを、ユーザーとして利用するケースも多いと思われます。
その際、通常は相手方の情報セキュリティポリシーに従い、十分な対策を施したうえで当該システムへのアクセスを行うはずですが、
もしも何らかの手違いや考慮漏れから、セキュリティ上の脆弱性があるPC等の利用が許容されてしまうと、攻撃者はその隙をついて事業者様の機器やアカウントなどを乗っ取り、さらには目指す大企業への攻撃を成功させてしまう可能性も、上記の例からすればありえる、そういえると思います。
〇皆様の情報セキュリティ対策が「利害関係者」全体を守ることに
中小の事業者様ですと、
「ウチみたいな事業者なんて、仮にサイバー攻撃を受けて情報漏洩が起こっても、困るような秘密情報なんてない。」と、謙遜の気持ちも込めてお考えの場合もあるかもしれません。
しかし、今回の事案に照らして考えれば、
取引先を含め、皆様の「利害関係者」全体を守るためにも、中小の事業者様にとっても、情報セキュリティ対策は非常に重要であり、事業運営上の重要要件であることがわかると思います。
日ごろから情報セキュリティ対策を進められますよう、強くお勧めいたします。
*ご参考ブログ:本当に「情報セキュリティ対策なんてウチには関係ない」でしょうか?
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments