サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

詐欺サイトの罠に落ちた職員が招いた情報漏洩──東京都委託事業で発生した不正アクセス事件から学ぶセキュリティ教訓

セキュリティニュース

業務外利用が招いた深刻なインシデント

東京都の委託事業において、あってはならない情報漏洩事件が発生しました。委託先企業パソナの従業員が使用していたパソコンが外部から不正アクセスを受け、約800人分の個人情報が流出した可能性があることが明らかになったのです。

この事件で注目すべきは、不正アクセスの発端です。従業員は業務目的外でパソコンを利用していた際に詐欺サイトに接続してしまいました。画面には突然「サポート接続が開始されました」というメッセージが表示され、パソコンがロックされる事態に。慌てた従業員は、画面に表示された電話番号に連絡し、相手の指示に従ってキーボード入力やアイコンのクリック操作を行ってしまったといいます。

これは典型的な「テクニカルサポート詐欺」の手口です。偽のセキュリティ警告を表示してユーザーを不安にさせ、電話をかけさせた上で遠隔操作ソフトのインストールを促す。こうした攻撃手法は、技術的な知識がない一般ユーザーを狙った極めて悪質なものといえるでしょう。

流出した可能性がある情報の深刻度

今回の事件で影響を受ける可能性があるのは、産業労働局が実施している「TOKYO特定技能Jobマッチング支援事業」にエントリーした800人分の情報です。具体的には、氏名、生年月日、メールアドレス、出身国、在留資格、日本語能力レベル、合格した特定技能試験の分野、そして紹介先企業の情報が含まれています。

これらの情報は、外国人労働者の支援という事業の性質上、非常にセンシティブな個人情報といえます。不正利用されれば、なりすまし詐欺やフィッシング攻撃の材料となりかねません。特に在留資格や試験情報といった詳細なプロフィールは、標的型攻撃を仕掛ける際の貴重な情報源となります。

東京都の調査によれば、当該パソコンから外部へのファイル送信などは確認されていないとのことです。しかし、遠隔操作によって画面上の情報を閲覧された可能性は否定できません。攻撃者が画面をスクリーンショットで記録していたり、目視で情報を書き留めていたりする可能性もあるため、完全に安心できる状況ではないのです。

なぜ従業員は詐欺に引っかかったのか

私がこの事件を分析して感じるのは、セキュリティ意識の欠如と基本的な対応手順の不徹底です。まず前提として、業務用パソコンを私的な目的で使用すること自体が重大な規則違反です。業務端末には機密情報や個人情報へのアクセス権限が付与されており、それを業務外で利用するリスクは計り知れません。

さらに問題なのは、パソコンがロックされた際の対応です。画面に表示された電話番号に連絡するという行動は、セキュリティの基本原則に反しています。正規のサポートであれば、企業の公式サイトに記載された連絡先を自ら調べて連絡するべきでしょう。

テクニカルサポート詐欺の手口は巧妙です。「ウイルスに感染しました」「システムが危険な状態です」といった警告で不安を煽り、冷静な判断力を奪います。そして「今すぐ対処しないと大変なことになる」と時間的プレッシャーをかけてくるのです。

このような状況下では、人は普段なら疑うような指示にも従ってしまいがちです。だからこそ、日頃からのセキュリティ教育と、インシデント発生時の明確な対応手順の周知が不可欠なのです。

組織として取るべき再発防止策

東京都はパソナに対して厳重注意を行い、社員教育の徹底と事故発生時の迅速な対応を指導しました。しかし、本当に必要なのは形式的な注意喚起ではありません。

まず技術的な対策として、業務端末にはWebフィルタリングの導入が必須です。既知の詐欺サイトや不審なサイトへのアクセスを自動的にブロックすることで、そもそも詐欺サイトに接続するリスクを軽減できます。また、遠隔操作ツールの無断インストールを防ぐために、アプリケーションのホワイトリスト制御も有効でしょう。

人的対策としては、定期的なセキュリティ研修の実施が重要です。ただし、座学だけでは不十分です。実際の詐欺サイトの画面を見せたり、模擬的な攻撃シナリオを体験させたりする実践的なトレーニングが効果的だと私は考えます。

さらに重要なのが、インシデント対応手順の明文化と周知です。「不審な警告が表示されたら、まず情報システム部門に連絡する」「画面に表示された連絡先には絶対に電話しない」といった具体的な行動指針を、全従業員が即座に思い出せるレベルまで浸透させる必要があります。

組織のセキュリティポリシーとして、業務端末の私的利用を技術的に制限することも検討すべきでしょう。勤務時間外はインターネット接続を遮断する、特定のWebサイトカテゴリへのアクセスを制限するといった対策が考えられます。

委託先管理の観点からも改善の余地があります。東京都のような自治体が委託事業を発注する際には、委託先のセキュリティ体制を詳細に評価し、定期的な監査を実施することが求められます。契約書にセキュリティ要件を明記し、違反時のペナルティを設定することも抑止力になるはずです。

まとめ

今回の事件は、一人の従業員の不注意が組織全体の信頼を損なう典型例です。しかし見方を変えれば、これは私たち全員にとっての教訓でもあります。サイバー攻撃は決して他人事ではなく、ほんの些細な油断が重大なインシデントにつながる可能性があるのです。

組織のセキュリティレベルは、最も弱いリンク、つまり最もセキュリティ意識が低い人間によって決まります。だからこそ、経営層から現場の従業員まで、全員がセキュリティの重要性を理解し、日々の業務の中で実践することが何より大切なのです。

説明

Japan Cyber Security Inc. All Rights Reserved.