#1015 道路工業のファイル共有サーバに不正アクセス、情報漏えいの可能性を否定することはできず

今回のニュースは、建設関連企業のファイル共有サーバに対する不正アクセス事例を取り上げます。企業が管理するサーバへの侵入は、事業継続に関わる重大なリスクですが、今回のケースでは「情報漏えいの可能性を否定できない」という、フォレンジック調査特有の判断が下されています。なぜ白黒はっきりとした結果が出ないのか、そして、原因となった通信機器への攻撃とはどのようなものなのか。このニュースを通じて、インシデント発生時の公表の難しさと、外部との接続点におけるセキュリティ対策の重要性について、リスナーの皆さんと一緒に深く掘り下げていきたいと思います。

記事の概要を説明しますね。ある建設関連企業が、2月13日に自社のサーバに対する不正アクセスがあったと公表しました。事の発端は2025年11月24日、同社が管理するファイル共有サーバに対して、外部の第三者からの侵入が確認されたことです。これを受けて同社は対策チームを立ち上げ、外部専門家と共に調査を行いました。その結果、原因は同社の通信機器に対する不正アクセスであると推定されています。調査では、複数のサーバで情報の窃取を示す明確な痕跡は見つかりませんでしたが、一部のサーバについては情報漏えいの可能性を完全に否定することはできないという結論に至りました。漏えいした可能性があるのは、取引先担当者の氏名や電話番号などの連絡先情報であり、同社は対象となる関係者に個別に連絡を行っています。

ここで言う通信機器とは、一般的にVPN装置やルーターなど、社内ネットワークとインターネットの境界にある機器を指すことが多いです。これらの機器にセキュリティ上の欠陥、つまり脆弱性があると、攻撃者は正規の利用者になりすまして社内ネットワークへ侵入できてしまいます。例えるなら、会社の裏口の鍵が壊されていて、そこから侵入者が堂々と入ってきてしまったような状態です。一度内部に入られてしまうと、そこからファイルサーバなどの重要資産へアクセスを広げられてしまうため、入り口の防御は非常に重要なのです。

これはデジタルフォレンジック調査において非常によく見られる結論です。攻撃者がデータを持ち出したという明確な「送信ログ」が残っていれば「漏えいした」と断定できます。しかし、攻撃者がログを消去していたり、そもそもログの保存設定が不十分だったりすると、持ち出しの事実を証明することも、逆に持ち出していないと証明することもできなくなります。そのため、攻撃者がそのサーバにアクセスできた事実がある以上、最悪のケースを想定して「持ち出された可能性は否定できない」という慎重な表現を使うことになるのです。

インシデント対応には、慎重かつ膨大な調査時間が必要だからです。まず、攻撃を検知した直後は被害拡大を防ぐための遮断措置を優先します。その後、何が起きたのかを特定するために、サーバや通信機器に残された膨大なログデータを解析しなければなりません。特に今回のように「何が漏れた可能性があるか」を特定するには、ファイルサーバ内のデータとアクセス履歴を突き合わせる作業が必要で、これには数ヶ月を要することも珍しくありません。不正確な情報を出すわけにはいかないため、確実な調査結果を待ってからの発表となったのでしょう。

まずは侵入経路となった通信機器の脆弱性対策を徹底することが最優先です。具体的には、機器のファームウェアを常に最新の状態に保つことや、IDとパスワードだけでなく、スマートフォンなどの別端末で認証を行う多要素認証（MFA）を導入することが効果的です。また、万が一侵入された場合に備えて、サーバ内の重要ファイルを暗号化しておいたり、いつ誰がどのファイルにアクセスしたかという操作ログを、消去されない別の場所に長期間保存したりする体制を整えることも重要です。

信頼回復のためには、誠実かつ迅速なコミュニケーションが不可欠です。今回のように可能性の段階であっても、対象となる取引先には個別に事情を説明し、お詫びと注意喚起を行うべきです。また、二次被害を防ぐために、不審なメールや電話への警戒を呼びかけることも大切です。隠蔽しようとせず、調査で判明した事実と、現在行っている対策を包み隠さず伝える姿勢が、結果として企業のブランドイメージを守ることにつながります。