セキュリティ対策会社のトレンドマイクロで個人データが流出：@Pマークコンサルが解説

「ウイルスバスター」という名称のセキュリティソフトは非常に有名です。そのウイルスバスターを出しているのがトレンドマイクロ社です。

セキュリティソフトを売るセキュリティ会社であるはずのトレンドマイクロが、個人情報流出事故を起こしてしまいました。その詳細と対策をみていこうと思います。

（トレンドマイクロ、内部不正による個人ユーザーの情報流出を発表：ZDNet Japan）
https://japan.zdnet.com/article/35144967/

なお、宣伝になってしまいますが、当社UPFではPマーク取得のコンサルティングを実施しています。Pマークに関するあらゆることをどうぞお問い合わせください。

｜個人情報漏洩事故の詳細

今回の事故は、元従業員による悪意をもったアクセスに端を発します。元従業員は辞める際に取り決めを交わすこともありますが、ほとんどはただ退職して終わりになります。しかし、常識的に考えて、従業員だった会社に不正アクセスを行い、あろうことかデータを持ち出すなどよほどのことです。通常は考えられないパターンとなります。

今回の不正アクセスの詳細については明かされていません。もしかしたらIDとパスワードを発行したまま、パスワードを変えずにそのままアカウントを生かしていたのであれば会社の責任ですし、そうではなく完全にアカウントを閉鎖していたのに、元従業員がバックドアをしかけていたのかもしれません。

社内にいる間にこっそりとバックドアをしかけられたら、なかなか対処することができません。そうなると、モラルで縛り、同時に全システムを常時監視するなどの体制づくりが必要です。

ちなみに、不正アクセスを行った元従業員は海外の人間であり、持ち出されたデータも海外版の個人情報であることが明らかとなっていますが、トレンドマイクロはほぼ日本の会社と言ってもいいので今回は取り上げることとします。

海外事例だからといって他人事ではない事態です。

｜悪意を持ったアクセス

元従業員が悪意を持って不正なアクセスを行うのは、退職時にこじれた場合にたまに起こり得ることです。現に、令和元年11月には、元エンジニアが退職した会社の顧客データを全消去し、大きな損害を与えて逮捕されるという事件が発生しています。

(業務データを消去容疑で元従業員逮捕　千葉県警 千葉日報)
https://www.chibanippo.co.jp/news/national/646855

この場合、システム管理を統括する立場であったこと、よほどの恨みを抱えていたこと、管理者のIDとパスワードが在職時のままでありずさんな管理状態だったことから、（ネット）世論は加害者である元従業員よりに同情的な意見が多く書き込まれました。

このように、下手を打つと世論が不正アクセスの加害者に同情よりで、企業はそんな犯罪を引き起こす土壌を作ったブラック企業としてバッシングの対象になることすらありえるのです。元従業員による不正アクセスを防ぐためには、まずなんといっても

・恨みを残さないこと
・IDとパスワードはすぐさま変えること

などの対処が必要です。
とくにこの最初の「恨みを残さないこと」が重要で、怨恨が残ったままコンピュータの責任者が会社を去ると、大きなトラブルの火種を残すことになってしまいます。
そして、それも防ぎようがないのでしたら「IDとパスワードはすぐさま変更すること」が求められます。これなら、大抵の場合は不正ログインを防げます。パスワードを破ってまで侵入してくる人は、もはや凄腕ハッカーですので、また別の問題です。

｜パスワード変更時の運用の注意点

パスワードはしょっちゅう変更すべきなのか、それとも一定のものを一箇所では使い続けるべきか。それには議論がありますが、最新のトレンドでは後者、すなわちパスワードは変更せず使い続けたほうがなにかとセキュリティは高まることがわかっています。

なぜなら、パスワードをしょっちゅう変える運用にすると、最終的にどのパスワードだったかわからなくなって、ふせんに書いてデスクに貼り付けるという行為をとりがちだからです。これは決して書いて貼る社員が悪いのではなく、運用がそうした行動を誘発していると考えるべきでしょう。

｜第三者の犯罪に悪用

そして、トレンドマイクロの個人情報流出事件は、持ち出された個人情報がなんと第三者に渡り、悪意を持った第三者が犯罪にそれを利用したことがわかっています。トレンドマイクロのサポートからサポート番号が流出し、サポート詐欺に使われたのです。

これは大変な事態で、セキュリティ会社の信用に関わるどころの騒ぎではありません。
また、トレンドマイクロは不正アクセスから謝罪まで２ヶ月もかけてしまっており、早期の対処を行わなかったことも批判を浴びる格好となりました。

犯罪に使われたとされるユーザーデータは全体の１％にもおよび、トレンドマイクロほどの企業ですから1200万ユーザーの情報が格納されていました。それが１％ですから12万人ものデータに、不正なアクセスがあったものとされます。

｜日本ユーザーへの影響は？

トレンドマイクロは、名前や販売している製品からして海外の会社に感じますが、実はほぼ日本の会社です。日本でも上場しており、日本人のユーザーが極めて多いのです。そんな中、日本ユーザーへの影響が懸念されますが、あくまでサポートによりますと、個人情報やクレジットカードなどの流出はないとしています。

しかし、金銭にまつわる直接的な流出がないからといって、個人情報が流出したことにはかわりありません。実際、犯罪者グループはサポート詐欺犯罪にこれを使っており、クレジットカード番号が流出したわけではないからといって、安心だという話にはならないのです。

データベースにどうやって侵入し、監視をどうくぐりぬけたのかは明らかではありませんが、おそらく元社員がやったということで、リモートからデータベースを操作できる抜け道があったものと思われます。それがIDとパスワードをそのままにしておいたことで、より抜け道が抜け穴へと進化して、データが盗られてしまったのではないでしょうか。

｜ユーザーからの指摘で気づくという失態

さらに、今回のトレンドマイクロの個人情報流出問題は、ユーザーからの指摘で気がついたという致命的な欠点が生じました。本来なら、何かが持ち出されたことにいち早く気がつくのは自分たち企業でなくてはなりません。しかし、実際のところ、サポート詐欺を疑ったユーザーが、指摘してはじめて気がついたのです。これはつまり、その前には被害者が出ていてもおかしくありません。

この場合、気がついた人の前にサポート詐欺にあってしまった人への補償は、トレンドマイクロが負担すべきかどうかについては議論の余地があり、法律とセキュリティの専門家の意見を待たねばなりません。しかし、引き起こした結果が重大なのです。信用を失墜したばかりか、おそらく利用者に損害を与えたことで、事態は深刻です。

なぜなら、一度詐欺に引っかかった人の個人情報や連絡先は、詐欺師のグループで共有され、次々と詐欺が持ちかけられるからです。よって、被害にあった人は個人情報を詐欺師グループにばらまかれることとなります。これがどれだけ一般人を不安に陥れるのか、企業はいまいちど、身を引き締めねばならないでしょう。

｜最後に

よりによって、セキュリティ対策会社がセキュリティのインシデントを起こしたのですから事態は深刻です。あまり大規模に報道はされていませんが、企業の根幹を揺るがす事態なのは間違いないでしょう。

そう考えると、トレンドマイクロやセキュリティ関連企業に限らず、個人情報を預かる上での重大さが理解できるのではないでしょうか。これからさらにインターネットが発達し、便利な社会を企業が作っていくに当たって、プライバシーの問題が同時に浮き上がることとなります。

よって、企業はさらにセキュリティを強化し、退職者のパスワードは絶対に変更すること、そして恨みを残さない会社作りなどが重要になってきます。そうしないと、きっと何度もこのような事故が起こり、そこから学んでいないこととなってしまいます。

今回はトレンドマイクロのセキュリティ事故についての詳細でした。退職者のIDとパスワードを残しておくことは本当にリスクとなりますので、すぐに変更しましょう。

そして、トレンドマイクロのPマークの行方が気になります。おそらく取り消しになると思われ、損害はより大きくなります。Pマークは大切なプライバシーを保護していく上で欠かせない認証です。

当社UPFでは、Pマーク取得のコンサルティングを行っています。サポートをした上でPマーク取得に寄り添い、最後まで責任を持ってコンサルに励みます。Pマークに関心を持たれるのでしたら、ぜひ当社にご連絡ください。

■こちらの記事もおすすめです
>>>【有限会社ジャングルで個人情報流出？原因と対策を解説！】