日本経済新聞社(日経社)で、社内業務で利用するビジネスチャットツール「Slack(スラック:チーム間のメッセージ共有やファイル交換を効率化するクラウドサービス)」への外部からの不正アクセスが発生。
社員や取引先を含む約1万7368名分の氏名、メールアドレス、チャット履歴などの情報が流出した可能性が判明した。
日経社によると、不正ログインのきっかけは社員の個人所有のパソコンがコンピューターウイルスに感染したことによるもの。
この感染により、SlackのログインIDやパスワードが外部に流出。
攻撃者はその情報を使って社内チャットに不正アクセスし、内部のやり取りを閲覧できたとみられている。
流出が疑われる情報は以下の通り。
・社員および取引先の氏名(約1万7368名分)
・メールアドレス
・チャット履歴(社内業務の議論や取材関連のやり取りを含む可能性)
現時点で、流出した情報が悪用された具体的な被害は確認されていないものの、ジャーナリズム活動に関わる機密情報が含まれている可能性もあり、報道機関としての信頼性への影響が懸念されている。
特に問題視されているのは、業務に私物パソコンを活用する「BYOD(Bring Your Own Device:私物端末の業務利用)」のリスク。
企業が管理していない個人端末はセキュリティ対策が不十分な場合が多く、今回の事件のようにウイルス感染の起点となりやすいと指摘されている。
発表後、日経社は速やかに対応を開始。
全社員に対してSlackのパスワード変更を義務付け、セキュリティ強化を進めている。
また、外部専門家と連携して被害範囲の詳細調査を実施中だという。
公式発表では「再発防止に向けて、端末管理の徹底とセキュリティ教育の強化を図る」としています。
ネット上の反応とSlack側の公表
SNSでは、日経社の発表記事の見出しに対して批判が相次いでいる。
一部ユーザーは「『Slackに不正ログイン』という表現が、Slack側の責任を匂わせている」と指摘。「実際は社員の私物パソコン管理の問題」との声が多く、企業としての責任の所在を問う意見が目立つ。
また、「大手メディアが自社の不祥事をどう報じるか」というメディア倫理の観点からも議論が広がっている。
https://x.com/RISING_PEAK/status/1986195763966427548
https://x.com/FireDancer_/status/1986154940931448975
https://x.com/kabumamihei/status/1986122618362298779
なおSlackを運営する「Salesforce(セールスフォース:クラウドサービス大手)」社からは、以下の声明が出ている。
「本件はSlackのシステムに脆弱性があったものではなく、顧客側の認証情報が第三者に取得されたことによる不正アクセスです。Slackは多要素認証(MFA)やセッション管理などのセキュリティ機能を提供しており、適切に利用されていればリスクを大幅に軽減できます。」
対策方法
この事件は、企業だけでなく個人にも警鐘を鳴らすもので、特に以下の点に注意が必要となる。
・私物端末での業務利用は慎重に
・セキュリティソフトの導入や定期更新が不可欠。
・パスワードは使い回し厳禁
・同じ認証情報を複数のサービスで使うと、一つの流出が連鎖被害を引き起こす。
・不審なメールや添付ファイルに注意
・ウイルス感染の多くはフィッシングメールが原因。
