本記事は日本国内の企業で発生した企業がメールアカウントを乗っ取られた事件の詳細についてご紹介してまいります。本記事は各企業にのIT管理部門、情報システム部、法務部、総務部のご担当者様に読んで頂き自社のセキュリティを再度見直していただく機会になればと思います。
目次
1.メールアカウント(メールアドレス)乗っ取り事件事例
2020年に発生した三菱電機株式会社の不正アクセス事件は、同社が開発したWebアプリに脆弱性があったことが原因で、攻撃者によって不正アクセスされ、企業の機密情報が盗まれた事件です。
この不正アクセスによって、三菱電機の製品の設計情報や製造工程の情報、顧客情報などが盗まれたとされています。また、これによって三菱電機が受注した国内外の複数のプロジェクトにも影響が及んだとされています。
三菱電機は事件の発覚後、警察に被害届を提出し、情報漏洩の可能性がある顧客や関係者に対しても情報提供を行っています。また、同社は今後のセキュリティ強化に取り組むとともに、社内の情報管理体制の見直しも行っています。
この事件は、企業が保有する機密情報が不正にアクセスされるリスクの高まりを示すものであり、企業がセキュリティ対策に対して万全を期す必要性を再認識させる出来事となりました。
2.メールアカウント(メールアドレス)乗っ取りによって発生した具体的な、被害事例・損害額は?
今回の事件により発生した被害例と具体的な損害額を掘り下げていきたいと思います。メールアカウントの乗っ取り事件は内容によって被害額が大きく異なりますので具体的な特定は難しいですが公表されている内容から以下の被害が想定できると考えられます。
1. 機密情報の盗難:製品の設計情報や製造工程の情報、顧客情報など、三菱電機が保有する機密情報が盗まれたことで、同社の競争優位性が損なわれる可能性があります。また、情報漏洩の可能性がある顧客や関係者に対して、三菱電機は情報提供を行っています。
2. プロジェクトへの影響:三菱電機が受注した国内外の複数のプロジェクトにも影響が及んだとされています。不正アクセスによって得た情報が、プロジェクトの進行や納期に影響を与えた可能性があります。
3. 信頼関係の損失:顧客や取引先、社会全体からの信頼を失うリスクがあります。企業の情報管理やセキュリティ対策に対する不信感が広がり、信用や評判を失う可能性があります。
以上のように、不正アクセスによって企業には様々な被害や損害が生じることがあります。企業は、セキュリティ対策を徹底して行い、情報漏洩や不正アクセスといったリスクに備えることが必要です。
具体的な損害額は三菱電機から公表されていない為、特定は出来ませんがメールアカウント乗っ取りの事件があった場合は一般的には以下の費用が発生すると想定されます。
1. 法的な責任による損害賠償費用
2. 信用失墜による取引先や顧客の減少
3. 被害者への補償や支援費用
4. セキュリティ対策の強化やシステムの見直しにかかる費用
5. 事業活動の停止や遅延による損失
今回の三菱電機にて上記の項目が全て発生しているかは不明ですが4. セキュリティ対策の強化やシステムの見直しにかかる費用は必ず発生していると考えられます。これはいわゆる「フォレンジック調査費用」が必要となりこの調査自体、調査範囲や対象とするシステムの内容によって大きく費用が異なりますが最低でも数百万円の費用が発生すると言われています。
参考:情報漏えい事故におけるフォレンジック調査の必要性と費用負担:AIU損害保険株式会社提供
フォレンジック調査費用の数百万円でも2.信用失墜による取引先や顧客の減少や5. 事業活動の停止や遅延による損失に比べたら安いかもしれません。
3.どうすれば企業はメールアカウント(メールアドレス)乗っ取りを防げていたのか?
三菱電機がメールアカウント乗っ取り事件を防ぐためには、以下のような対策を取ることが考えられます。
1. Webアプリの脆弱性診断を実施:同社のWebサイトに潜むリスクや脆弱性を診断して、早期に脆弱性を発見し、修正する。
2. セキュリティ強化の徹底:社内の情報システムやネットワークについて、脆弱性を洗い出し、対策を講じることが必要。また、社内の情報管理体制を見直し、情報漏洩や不正アクセスといったリスクに備える。
3. パスワード管理の強化:社員のパスワードを定期的に変更させることや、強力なパスワードの設定を徹底することが必要。また、二要素認証の導入など、より高度な認証方式を採用する。
4. 社員の教育・啓発:社員に対して、情報セキュリティに関する教育・啓発を行い、不審なメールやリンクには触れないようにするなど、情報セキュリティに対する意識を高める。
5. セキュリティ監視の強化:社内ネットワークやシステムの監視を徹底し、不審なアクセスや通信を検知した場合には、早急に対応することが必要。
これらの対策を徹底することで、三菱電機がメールアカウント乗っ取り事件を防ぐことができた可能性があります。
企業は、情報セキュリティに対する対策を進めることで、リスクに備えることが大切です。
まずは最も手軽に始めることのできるsecuas(セキュアズ)の無料診断を実施して1. Webアプリの脆弱性診断を実施 から始めてみませんか?