#1022 東海大学委託先 東海ソフト開発へのランサムウェア攻撃、漏えいの対象者数は最大で延べ 193,118 人に

今回は、組織が業務を外部に委託する際に潜むリスクについて、実際のインシデント事例をもとに解説します。信頼して任せていたはずの委託先でセキュリティルールが守られておらず、その結果、サイバー攻撃を受けて大規模な情報漏洩に繋がってしまったというケースです。私たち発注者側が、どのように委託先の情報管理をチェックすべきか、契約や監査のあり方を含めて、実務的な教訓が得られる内容になっています。自社のサプライチェーン管理は十分か、改めて見直すきっかけにしていただければと思います。

今回の件は、ある大学法人がネットワークシステムの保守管理を委託していた、システム開発会社のサーバーがサイバー攻撃を受けた事例です。攻撃者は、認証情報を不正に入手して委託先のネットワークへ侵入し、ランサムウェアを実行しました。調査の結果、本来であれば大学の構内や特定の環境のみで扱うべき個人情報を、委託先の担当者がルールに反して自社サーバーに持ち帰っていたことが判明しました。この運用ルール違反に加え、大学側でも委託先の安全管理を徹底できていなかったことが重なり、学生や保護者、教職員など最大で約19万人分の氏名や住所、さらにはシステムを利用するためのIDやパスワードなどが漏洩した可能性があるとされています。

ランサムウェアとは、感染したコンピュータ内のデータを暗号化して読み取れない状態にし、その復旧と引き換えに金銭、いわゆる身代金を要求する不正プログラムのことです。今回のケースでは、委託先のサーバーがこの被害に遭いました。最近の攻撃では、単にデータを暗号化するだけでなく、盗み出した情報を公開すると脅迫する「二重脅迫」の手口も一般的になっており、企業の事業継続にとって非常に深刻な脅威となっています。

認証情報、つまりIDやパスワードが盗まれる手口はいくつか考えられます。よくあるのは、VPN装置などのセキュリティ機器にある脆弱性を突かれるケースや、フィッシングメールによって従業員がパスワードを入力してしまうケースです。また、過去に他のサービスから流出したパスワードを使い回していた場合に、リスト型攻撃で突破されることもあります。一度侵入を許すと、攻撃者はネットワーク内を探索し、より高い権限を持つ管理者の情報を狙う動きを見せることが多いですね。

これは現場の利便性を優先してしまった結果だと推測されます。本来はセキュリティを確保するために、大学構内などの限定された環境で作業するというルールがありました。しかし、委託先の担当者が作業効率を上げようとして、無断で自社にデータを持ち帰ってしまったのです。発注元の目が届かない場所では、こうした「隠れ運用」が発生しやすく、それが攻撃者にとって格好の隙となってしまうことが、サプライチェーン攻撃の怖いところです。

IDとパスワードが漏洩することは、家の合鍵を盗まれるのと同じくらい危険です。これらを使えば、攻撃者は正規の利用者になりすまして大学のシステムにログインできてしまいます。そうなると、成績情報の改ざんや、本人になりすましたメールの送信、さらには組織内部の掲示板への不正な書き込みなど、被害が拡大する恐れがあります。そのため、漏洩が疑われる場合は、直ちにパスワードを変更し、アカウントの利用を一時停止するなどの迅速な対応が求められます。

契約書でルールを定めるだけでなく、それが実際に守られているかを定期的にチェックすることが重要です。今回の再発防止策にもあるように、委託先に対して定期的な自己点検や報告を求めたり、場合によっては実地監査を行ってセキュリティ対策の状況を直接確認したりする必要があります。丸投げにするのではなく、委託先も自社のセキュリティの一部であるという意識を持ち、共にリスクを管理していく体制を作ることが、今回のような事故を防ぐための鍵となります。