メールアカウント乗っ取り事例紹介｜大手総合商社が不正アクセスにより社員のメールアカウントを乗っ取り

本記事は日本国内の企業で発生した企業がメールアカウントを乗っ取られた事件の詳細についてご紹介してまいります。本記事は各企業にのIT管理部門、情報システム部、法務部、総務部のご担当者様に読んで頂き自社のセキュリティを再度見直していただく機会になればと思います。

1．メールアカウント(メールアドレス)乗っ取り事件の事例
2．メールアカウント(メールアドレス)乗っ取りによって発生した具体的な、被害事例・損害額
3．どうすれば企業はメールアカウント(メールアドレス)乗っ取りを防げていたのか？

1．メールアカウント(メールアドレス)乗っ取り事件の事例

2019年、日本の大手総合商社(以下、同社)がWebアプリケーション(以下、Webアプリ)、いわゆるWebサイトを構成しているシステムのの脆弱性が原因で、メールアカウント乗っ取り事件が発生しました。この事件では、攻撃者が同社のWebアプリに侵入し、社員のメールアカウントを乗っ取ったとされています。
その後、攻撃者は社員のメールアカウントを使って、企業の機密情報を盗み出すことに成功しました。この事件は、Webアプリの脆弱性によって企業のシステムが侵入され、社員のメールアカウントが乗っ取られることで、企業の機密情報が流出する危険性があることを示しています。
同社は、この事件を受けてWebアプリのセキュリティ対策を強化し、社員の教育・訓練を実施するなど、再発防止に向けた取り組みを行っています。
同社は2019年11月下旬に、社員のメールアカウントが不正ログインされ、機密情報が盗まれたことを発表しています。攻撃者は、産業スパイの可能性があるとされています。
また、同社はWebアプリの脆弱性を修正するなどのセキュリティ対策を進めており、社員の教育・訓練も実施していると報じられています。

2．メールアカウント(メールアドレス)乗っ取りによって発生した具体的な、被害事例・損害額

*画像はイメージです。

今回の事件により発生した被害例と具体的な損害額を掘り下げていきたいと思います。メールアカウントの乗っ取り事件は内容によって被害額が大きく異なりますので具体的な特定は難しいですが以下の内容のようなことが挙げられます。

1. 不正アクセスにより、同社の従業員のメールアカウントが乗っ取られ、外部からの不正なメール送信が行われた。
2. 不正なメール送信により、関連企業や取引先に対して悪意のあるメールが送信され、不正な指示が行われた可能性がある。
3. 事件に対する対応や調査のために、多額の費用が必要になった。

この事件により、同社は取引先や関連企業との信頼関係が損なわれる可能性があるほか、不正な指示による経済的損失や法的責任を問われる可能性があるなど、多大な被害を受ける可能性があります。
同社が具体的にどれくらいの費用を費やしたかは公表されていませんが、一般的に情報漏えい事件やセキュリティ対策にかかる費用は非常に高額になることが多いです。
例えば、調査や対策のために専門家を雇ったり、セキュリティシステムの改修や導入、従業員の教育やトレーニングなどが必要になるため、数千万円から数億円単位での費用がかかることもあります。
また、情報漏えいが原因で損害賠償などの法的責任を問われる可能性もあるため、その費用も含めるとより大きな額になることがあります。

3．どうすれば企業はメールアカウント(メールアドレス)乗っ取りを防げていたのか？

同社がこのようなメールアカウント乗っ取り事件を防ぐためには、以下のような対策が考えられます。

1. Webアプリの脆弱性診断を実施：同社のWebサイトに潜むリスクや脆弱性を診断して、早期に脆弱性を発見し、修正する。
2. セキュリティ意識の向上：従業員に対して、パスワードの管理や不審なメールの取り扱いなどのセキュリティに関する教育を行い、セキュリティ意識の向上を図ることが重要です。
3. パスワードの強化：パスワードの長さや文字種、定期的な変更など、強力なパスワードの使用を促し、不正アクセスを防止することが必要です。
4. フィッシング対策の強化：フィッシング詐欺に対する従業員の教育や、不審なメールのフィルタリングシステムの導入、リンク先の確認など、フィッシング詐欺に対する対策を強化することが必要です。
5. 多層防御の導入：セキュリティシステムを多層化し、不審なアクセスや不正なメールの検知・防止を行うことが必要です。

これらの対策を実施することで、同社は今後このようなメールアカウント乗っ取り事件を防ぐことができる可能性が高くなるでしょう。

別の記事で企業のメールアカウント乗っ取りの確認方法や対策方法を詳しくご紹介しておりますのでぜひご覧ください。