メールアカウント乗っ取り事例紹介|日本の大手メーカーが不正アクセスにより社内の機密情報を漏えい

本記事は日本国内の企業で発生した企業がメールアカウントを乗っ取られた事件の詳細についてご紹介してまいります。本記事は各企業にのIT管理部門、情報システム部、法務部、総務部のご担当者様に読んで頂き自社のセキュリティを再度見直していただく機会になればと思います。

 

1.メールアカウント(メールアドレス)乗っ取り事件事例

2018年に日本の大手メーカー(以下、同社)でWebアプリケーション(以下、Webアプリ)、いわゆるWebサイトを構成しているシステムの脆弱性が原因で、メールアカウント乗っ取り事件が発生しました。この事件では、攻撃者が同社のWebアプリに侵入し、社員のメールアカウントを乗っ取ったとされています。その後、攻撃者は社員のメールアカウントを使って、仕事上のやり取りを監視し、企業の機密情報を盗み出すことに成功しました。この事件は、Webアプリの脆弱性によって企業のシステムが侵入され、社員のメールアカウントが乗っ取られることで、企業の機密情報が流出する危険性があることを示しています。

 

2.メールアカウント(メールアドレス)乗っ取りによって発生した具体的な、被害事例・損害額は?

1. 同社の従業員のメールアカウントが不正にアクセスされ、機密情報が盗まれた可能性がある。
2. 不正アクセスにより、同社の外部とのメールのやり取りが妨害された。
3. 事件により、同社の業務が一時的に混乱した。
4. 事件の発覚により、同社の信頼性が低下した。
5. 事件に対する対策や調査に多額の費用が必要となった。

以上のように、同社は機密情報漏えいや業務の混乱、信頼性の低下、費用の増加など、多大な被害を受けました。
同社が具体的にどれくらいの費用を費やしたかは公表されていませんが、一般的に情報漏えい事件やセキュリティ対策にかかる費用は非常に高額になることが多いです。
例えば、調査や対策のために専門家を雇ったり、セキュリティシステムの改修や導入、従業員の教育やトレーニングなどが必要になるため、数千万円から数億円単位での費用がかかることもあります。
また、情報漏えいが原因で損害賠償などの法的責任を問われる可能性もあるため、その費用も含めるとより大きな額になることがあります。

 

3.どうすれば企業はメールアカウント(メールアドレス)乗っ取りを防げていたのか?

今回の事件はWebアプリの脆弱性があることを知ってか知らずか放置していたことによって、悪意のある第三者に狙われて事件が発生しました。

Webアプリの脆弱性が原因で起きたメールアカウント乗っ取り事件を防ぐためには、以下のような対策が必要でした。

1. Webアプリの脆弱性診断を実施することで、早期に脆弱性を発見し、修正する。
2. 定期的なセキュリティアップデートを行うことで、Webアプリの脆弱性を修正する。
3. 社員の教育・訓練を実施することで、不正アクセスやフィッシング攻撃などのセキュリティリスクに対する意識を高める。
4. パスワードの強化や、二要素認証の導入など、セキュリティレベルを高める対策をする。

これらの簡単な対策を実施することで、Webアプリの脆弱性が原因で起きるメールアカウント乗っ取り事件を防ぐことができと言われています。

別の記事で企業のメールアカウント乗っ取りの確認方法や対策方法を詳しくご紹介しておりますのでぜひご覧ください。

参考記事:企業メールアカウントの乗っ取り被害かも?今すぐ確認すべきポイントと予防策

 

日本国内の多くの企業では根拠のない「自分たちの会社は大丈夫だろう」という根拠のない思い込みが蔓延しています。きっとこの大手メーカーでも担当部署のセキュリティ意識の低下や、会社全体がセキュリティを他人事と思ってしまっていたはずです。上記で記載している2~4は実施するには少しお金や時間がかかってしまう可能性があります。

まずは、無料で脆弱性の有無を診断出来るsecuas(セキュアズ)をお試しください。