サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

企業のセキュリティを脅かす個人アカウント管理の落とし穴:ツネイシホールディングスの事例から学ぶ

セキュリティニュース

私たちセキュリティ業界では、企業における個人アカウントの管理問題が常に議論の的になっています。今回、ツネイシホールディングスで発生したインシデントは、この問題の深刻さを改めて浮き彫りにしました。

何が起きたのか:個人アカウントからの大規模なフィッシングメール送信

2025年10月9日、ツネイシホールディングス株式会社は、同社グループ社員の個人アカウントのパスワードが外部に漏えいし、第三者によって不正利用されたことを公表しました。その結果、不特定多数の宛先に対してフィッシングメールが送信されるという事態が発生したのです。

フィッシングメールというのは、受け取った人を騙して個人情報やパスワードを入力させようとする詐欺メールのこと。今回のケースでは、攻撃者が正規の社員アカウントを乗っ取って送信したため、受け取った人からすれば「本物の企業からのメール」に見えてしまう可能性が高く、非常に危険な状況でした。

企業の信頼性に関わる問題だけに、同社の対応も迅速でした。インシデント判明後すぐに、当該アカウントのパスワード変更、多要素認証の設定、そして関連システムのウイルスチェックを実施しています。

なぜ「個人アカウント」が狙われるのか

ここで疑問に思う方もいるかもしれません。「企業のセキュリティなら万全なはずなのに、なぜこんなことが?」と。

実は、ここに大きな盲点があります。企業の公式システムには厳重なセキュリティ対策が施されていても、社員の個人アカウントは本人任せになっているケースが多いのです。

個人アカウントといっても、業務に関連するメールアドレスやSNSアカウントなどが含まれます。攻撃者はそうした「セキュリティの甘い部分」を狙ってきます。個人アカウントのパスワードは、企業のシステムと比べて簡単なものに設定されがちですし、多要素認証が設定されていないことも多いからです。

一度アカウントを乗っ取られてしまえば、そこから企業の関係者や取引先に対して、あたかも本人からのメールのように装ってフィッシングメールを送ることができてしまいます。これが今回のインシデントで実際に起こったことなのです。

再発防止に向けた対策:MFAの義務化とセキュリティ教育の強化

ツネイシホールディングスは、今回の事態を受けて、グループ全体で以下の対策を実施することを発表しました。

まず注目すべきは、全社員のメールアカウントに対して多要素認証(MFA)を義務化することです。多要素認証というのは、パスワードに加えて、もう一つ別の方法で本人確認を行う仕組みのこと。たとえば、スマートフォンに送られてくる確認コードを入力したり、生体認証を使ったりします。

この仕組みが優れているのは、たとえパスワードが漏えいしても、攻撃者が別の認証要素を突破できなければアカウントにアクセスできない点です。

もう一つの柱が、社員へのセキュリティ教育とフィッシング対策研修の強化です。どんなに技術的な対策を講じても、最終的には「人」がセキュリティの要になります。

現状では多くの社員が「自分は大丈夫」と思っている点も問題です。しかし、フィッシング攻撃は年々巧妙化しており、セキュリティの専門家でさえ騙されることがあります。定期的な教育と実践的な訓練が不可欠なのです。

企業と個人、それぞれができること

今回のインシデントから学べる教訓は、企業だけでなく、私たち個人にとっても重要です。

企業側の対策として、まず挙げられるのは包括的なアカウント管理ポリシーの策定です。業務で使用する可能性のあるすべてのアカウント、個人のものも含めて、セキュリティ基準を設けることが必要でしょう。また、定期的なセキュリティ監査を実施し、脆弱な部分を早期に発見することも重要です。

さらに、インシデント発生時の対応手順を明確化し、全社員に周知しておくことも欠かせません。今回のツネイシホールディングスのように迅速な対応ができるかどうかは、事前の準備にかかっています。

個人としてできる対策も多くあります。まず、パスワードは複雑で推測されにくいものを設定し、サービスごとに異なるパスワードを使用すること。パスワード管理ツールを使えば、この作業も楽になります。

また、可能な限り多要素認証を有効にすることをお勧めします。少し手間に感じるかもしれませんが、アカウントの安全性は飛躍的に向上します。

そして何より、フィッシングメールに対する警戒心を持つこと。「本物に見える」からといって安心しない姿勢が大切です。リンクをクリックする前に、送信者のアドレスを確認したり、内容に不審な点がないか注意深くチェックしたりする習慣をつけましょう。

まとめ

今回のインシデントは、企業と個人の両方が協力してセキュリティを高めていく必要性を示しています。一人ひとりの意識と行動が、組織全体のセキュリティレベルを決定づけるのです。

私たちの日常がますますデジタル化する中で、セキュリティ対策は「特別なこと」ではなく「当たり前のこと」になっていく必要があります。今回の事例を他山の石として、自分自身のセキュリティ対策を見直してみてはいかがでしょうか。

説明

Japan Cyber Security Inc. All Rights Reserved.