#992 不正アクセスや情報持ち出しの痕跡は確認されず ～ エフエム東京へのサイバー攻撃を指摘する SNS 投稿

今回の事例は、SNS上での投稿をきっかけに、企業における情報流出の可能性が浮上したというニュースです。企業が自社のセキュリティシステムで異常を検知するのではなく、外部からの指摘によって調査が始まるというケースは、昨今非常に増えています。特に、自社のメインサーバーは堅牢に守られていても、データ分析やマーケティングのために利用していた外部のクラウドサービスから情報が漏れてしまうという点は、多くの企業にとって他人事ではありません。今日はこの事例を通じて、外部サービスの利用に伴うリスク管理や、万が一インシデントが疑われた際の初動対応、そして情報公開のあり方について、皆さんと一緒に深く考えていきたいと思います。

あるラジオ放送局が1月6日に発表した内容によると、年始にSNSなどの一部メディア上で、同社のサーバーに対するサイバー攻撃と大量の個人データ流出を示唆する投稿が確認されました。これを受けて同社が緊急調査を行ったところ、ホームページや音声プラットフォームなどの主要な運用サーバーには、不正アクセスや情報の持ち出しの痕跡は見当たりませんでした。しかし、ユーザーの統計分析のために利用していた外部のクラウドサービスから、一部のユーザー属性情報が何らかの原因で流出していた事実が判明しました。現在は該当するクラウドへのデータ蓄積を停止し、不要データの削除を行うなどセキュリティ対策を強化しているとのことです。

非常によく見られる傾向です。攻撃者が自身の成果を誇示したり、企業を脅迫したりする目的で、SNSやダークウェブ上のフォーラムに犯行声明を出すことがあります。企業側がシステムのアラートで気づくよりも先に、こうした外部の書き込みによってインシデントを認知するケースは少なくありません。そのため、セキュリティ担当者は自社のシステム監視だけでなく、SNSやインターネット上の脅威情報を日常的にモニタリングすることも、重要な業務の一部となっているのです。

これは多くの企業が陥りやすい落とし穴と言えます。メインの基幹システムは堅牢に守られていても、データを分析やマーケティングのために外部サービスへコピーする際、セキュリティレベルが一段階下がってしまうことがあるのです。例えば、分析の利便性を優先してアクセス制限を緩く設定していたり、テスト環境のような扱いで管理が甘くなっていたりするケースです。データが置かれている場所が変われば、そこにも同等の厳格なセキュリティ対策が必要になるという認識が不可欠ですね。

今回流出したのは、ラジオ番組への投稿などで使用されるユーザーネームや、性別、年齢、職業、都道府県といった属性情報です。また、投稿メッセージの本文や一部のメールアドレスも含まれていました。幸いなことに、氏名や住所、電話番号、ログインパスワード、クレジットカード情報といった、直接的に個人を特定したり金銭被害に直結したりする機密性の高い情報は含まれていませんでした。分析用に加工されたデータであったため、被害が限定的だったと言えるでしょう。

最も重要なのは「責任共有モデル」を正しく理解することです。クラウドサービスを利用する場合、インフラのセキュリティは事業者が担保しますが、その上で扱うデータやアクセス権限の設定は、利用者である企業側の責任となります。単に契約して終わりにするのではなく、誰がそのデータにアクセスできるのか、設定にミスはないか、定期的に監査を行う必要があります。また、不要になったデータは速やかに削除するという、データのライフサイクル管理も忘れてはいけません。

やはり「サプライチェーン全体でのセキュリティ管理」の重要性ですね。自社のサーバーを守るだけでは不十分で、業務委託先や利用しているクラウドサービスも含めた広い範囲でリスクを評価しなければなりません。どこに自社の重要なデータが存在しているのかをすべて把握し、それぞれの場所に応じた適切な対策が講じられているかを確認し続けること。これが、複雑化する現代のIT環境において情報を守るための鉄則と言えるでしょう。