「三菱電機がハッキング被害」個人情報漏洩。考えられるダメージと、できる対処は？

2019年６月、三菱電機の社内端末に異変があることが、情報システム部のチェックでわかりました。たいていの場合、大企業は本社・国内拠点・海外拠点がネットワークでつながっています。いわゆるLANで、プライベートインターネットがあるようなものです。

社内のネットワークがつながっているため、たとえばブラジル・サンパウロ支店の営業課長のパソコンから、滋賀県の経理部社員のPCにも、IPひとつでつながっていると考えていいでしょう。会社の社内ネットワークはひとつが侵入されると、社内の情報にかなりアクセスできるようになります。よって、外部との接続を行う部分には企業は細心の注意を払います。

しかし、セキュリティソフトの弱点を突かれて侵入され、個人情報が流出した可能性があるのが三菱電機のハッキング被害です。

こうした個人情報の漏洩は、下手すればPマーク（プライバシーマーク）の取り消しにつながりかねません。当社ユーピーエフでは、Pマークの取得支援を行っています。

｜三菱電機サイバー攻撃事件とは？

三菱電機が被害にあったサイバー攻撃事件とは、三菱電機が社内ネットワークに侵入を許し、情報が流出したとされる事件です。

三菱電機は事実として、防衛省の仕事を受注していたり、鉄道・電力といった日本の根幹にかかわる重要なインフラに関連した案件を受注していました。それらが事業の柱であり、三菱電機の大きな売り上げをもたらす顧客なのです。

それが、機密性の高い情報が流出した可能性があると、NHKは報じています。あくまで可能性であって、まだ2020年の1月21日時点では確定とは報道されていません。しかし、個人情報はかなりの確率で流出しており、採用試験に関する8,100名のデータおよび人事情報などがターゲットになった様子です。

｜セキュリティがやぶられた理由

今回は、社内で不審な動きをする端末を見つけたことから発覚したものです。海外支店のネットワークが何らかの形で侵入され、そこから社内のネットワークへと容易にアクセスが可能になったものです。

これは、おそらく海外支店の端末にセキュリティパッチが充てられていなかったことによるものだと報道されています。といっても、セキュリティソフト会社がセキュリティホールをふさぐ前に、侵入されてしまったものです。ハッカーというのは本当に動きが早く、最新の情報を常に持っていますし、それ以前に常にセキュリティホールを探してインターネット上をうろうろしているものなのです。

機密を扱う三菱電機ほどの会社がパッチを速やかにあてることをおろそかにしていたとは思えませんので、セキュリティホールを見事に、見事にという表現が適切なほどピンポイントで、突かれて侵入されてしまったものと思われます。

今回の流出可能性があるデータは以下の通りです。

●政府機関とのやりとりの資料（防衛省や原子力規制委員会も含む）
●取引先企業の技術資料
●自社の技術や会議資料
●採用試験に応募した人の氏名住所
●人事制度にまつわる社員の情報
●企業年金基金の退職者の名前等

前半の３つがとてもまずい状態で、日本の危機を招きかねない、外部に対して信頼が崩壊した事態です。そして、後半はPマークにまつわるやっかいな事態で、採用・人事・退職者情報が個人情報として筒抜けになってしまうのは、内部に対して信頼が崩壊した事態となります。

「取引先に関係する重要な情報は流出していない」

と三菱電機は発表しています。
どうしてそれがわかるかというと、UNIX系サーバではCOPYコマンドや、Windows系サーバではイベントログをみて、ファイルがコピーされているか見てみれば、まずは持ち出しの有無がわかりそうです。

そうしたことから判断されたのかもしれませんが、イベントログを消し去る行動をとられていたとしたら、より深刻な事態となり、何が持ち去られたかわからない状態になってしまいます。

｜社内ネットワークを守るためには？

では、社内のネットワークを守るためにはどうしたらいいのでしょうか？
まず、考えられる不正アクセス対策として、

●メールの添付ファイルを開かない

というものがあります。これはもう20年以上前からいわれていることです。
添付ファイルをうかつに開いてしまうと、それがexeの実行形式だった時、コンピュータが乗っ取られてしまうプログラムが入っているケースがあります。
ケースがあるというよりも、うかつに実行したexeはウイルスです。よって、侵入されてしまう可能性が限りなく高くなります。

あの、2018年に多くの若者を失望させたコインチェックの仮想通貨ネムの流出事件も、同じようにexeファイルをうかつに開いてしまったことから起こったものです。
また、年金機構の流出問題も、exeファイルを職員が実行したことで起こったとされています。

このように、添付ファイルのexeは実行しないとさんざん警告がなされているにも関わらず、添付ファイルを実行してしまう人は後を絶ちません。exeならまだわかりやすいですが、.docxだったり.xlsだったりと、ドキュメントファイルに偽装されているケースもあるので、見破るのはむつかしいかもしれません。

とにかく、添付ファイルは相手が知らない人の場合は絶対に開かない、これを徹底しないことには、同じことが繰り返されてしまいます。内容に違和感をもったら、すぐに開かずに警戒するなど、常日頃から外部とのやりとりには細心の注意を持つべきでしょう。

｜三菱電機とPマーク

これから、2020年東京オリンピック・パラリンピックがあります。よって、日本にはさまざまな人から注目が集まります。日本の機密をおびやかす事態がいつ発生してもおかしくありませんので、重々警戒していく必要があります。

サイバー攻撃に対して、日本政府も国も企業も、ほぼ何もできていないといっても過言ではありません。ハッカー側の技術はどんどん進歩していきますが、セキュリティの最新技術は、どうしても後回しになってしまうのです。これは、外部からの悪意を低く見積もっているわけではないと思いますが、どうしても日々の業務にかられて、また人手不足も相まって、なかなか技術が追い付いていかないのが現状ではないでしょうか。

三菱電機はPマークを取得していました。そのPマークが取り消されるかどうかは、現状まだわかっていません。なぜなら、故意に流出させたり体制に不備があったりしたわけではなく、サイバー攻撃という避けることができない外部からの脅威によって、安全が脅かされたものだからです。

よって、Pマークはわかりません。しかし、高度な技術を持った巨大企業として、侵入されたのは大きなニュースです。今後、同様の攻撃が日本全体に対して行われることは容易に想像でき、それは中小企業であっても大企業であっても同様です。

大切な個人情報。顧客だけでなく社員の情報も、守っていくためには、十分なセキュリティ意識と、対策と、そして個人情報を守る心構えが必要です。そのためのPマーク取得です。Pマークは、個人情報の取り扱いが万全であることの証明であり、また同時にPマークを持っていることは、お客様が安心して貴社に個人情報を預けられる信頼の証でもあります。市場に安心感をもたらすことができるのです。

そうした、顧客よし、自社よし、社会よしの、三方よし的な取り組みがPマークです。ぜひ取得をおすすめいたします。

最後になりましたが、弊社ユーピーエフでは、そのPマーク取得のコンサルティングを実施しています。大切なお客様の情報や、自社を信頼して情報を預けてくれている社員のためにも、Pマークを取得しましょう。

参考資料：NHKニュース

■こちらの記事もおすすめです。
>>>【ラブホテル検索＆予約サービスで個人情報漏洩事故。会社の存続に関わる？！】