• 企業を襲った不正アクセスの実態
• 漏えいした情報の内容とリスク
• リモートアクセスのセキュリティ、何が問題だったのか
• 私たちが学ぶべき教訓と対策
• まとめ

企業を襲った不正アクセスの実態

三菱製紙株式会社が2025年11月に公表した不正アクセス事件は、現代企業が直面するサイバーセキュリティの課題を浮き彫りにしました。8月26日から28日にかけて、第三者が同社のPCおよびサーバに複数回にわたって不正にリモート接続していたことが判明したのです。

この事件で特に注目すべきは、リモートアクセス専用回線に接続された機器のセキュリティに脆弱性があったという点です。テレワークが当たり前になった今、多くの企業がリモートアクセス環境を整備していますが、その入口となる機器のセキュリティが十分でなければ、まさに玄関の鍵を開けっ放しにしているようなものなのです。

発覚後、同社は迅速に対応しました。不正アクセスされたPCをシャットダウンしてネットワークから隔離し、リモートアクセス専用回線を遮断。さらに全アカウントのパスワードを変更するという徹底した初動対応を実施しています。

しかし、役職員2,422名と退職者1,787名、合計4,209名の個人情報が漏えい、またはその可能性があることが確認されたのです。

漏えいした情報の内容とリスク

今回漏えいした、あるいは漏えいの可能性がある情報には、氏名、ログインID、メールアドレス、所属部署、役職名などが含まれています。

情報が漏えいしたことのリスクを軽視してはいけません。氏名やメールアドレス、所属部署といった情報は、標的型攻撃やフィッシング詐欺に悪用される可能性があります。例えば、実在する上司の名前を騙って「至急、この添付ファイルを確認してください」といったメールを送りつける手口は、今も昔も効果的な攻撃手法なのです。

さらに懸念するのは、退職者の情報も含まれていたという点です。退職者は現在の企業のセキュリティ対策の範囲外にいるため、注意喚起が届きにくく、また警戒心も薄れがちです。攻撃者はそうした隙を突いてくる可能性があります。

リモートアクセスのセキュリティ、何が問題だったのか

今回の事件の根本原因は、リモートアクセス専用回線に接続された機器のセキュリティにありました。では、具体的にどのような問題が考えられるのでしょうか。

まず考えられるのは、機器のファームウェアやソフトウェアが最新の状態に保たれていなかった可能性です。リモートアクセス機器は外部からの接続を受け付ける性質上、常に攻撃者の標的になります。メーカーは脆弱性が発見されるたびにセキュリティパッチをリリースしますが、これを適用しないまま放置していると、既知の脆弱性を突かれてしまうのです。

次に、認証の仕組みが不十分だった可能性も考えられます。単純なIDとパスワードだけの認証では、何らかの方法でこれらの情報が漏れた場合、簡単に侵入を許してしまいます。多要素認証（MFA）を導入していれば、たとえパスワードが漏れても、追加の認証要素がなければログインできません。

また、アクセスログの監視が不十分だった可能性もあります。不正アクセスは8月26日から28日にかけて複数回行われていましたが、発覚したのは29日でした。もしリアルタイムでログを監視し、異常なアクセスパターンを検知する仕組みがあれば、もっと早く気づけたかもしれません。

私たちが学ぶべき教訓と対策

この事件から、私たちはどのような教訓を得られるでしょうか。

第一に、リモートアクセス環境は特に厳重なセキュリティ対策が必要だということです。社内ネットワークへの入口となる機器は、常に最新の状態に保ち、強固な認証を実装し、継続的に監視する必要があります。

具体的な対策としては、以下のようなものが挙げられます。

まず、多要素認証の導入は必須です。パスワードに加えて、スマートフォンアプリによるワンタイムパスワードや生体認証などを組み合わせることで、セキュリティレベルは大幅に向上します。

次に、定期的なセキュリティパッチの適用です。これは地味な作業ですが、既知の脆弱性を突かれないための最も基本的で効果的な対策です。パッチ適用のスケジュールを決め、確実に実行する体制を整えましょう。

さらに、アクセスログの監視と分析も重要です。通常とは異なる時間帯のアクセス、見慣れないIPアドレスからの接続、短時間に大量のデータがダウンロードされるといった異常なパターンを検知できれば、被害を最小限に抑えられます。

第二の教訓は、インシデント発生時の迅速な対応体制の重要性です。三菱製紙は発覚後すぐに機器の隔離やパスワード変更を実施しました。こうした初動の速さが、被害の拡大を防ぐ鍵となります。

第三に、退職者の情報管理にも注意を払う必要があるということです。退職者のアカウントは速やかに削除し、不要になった個人情報は適切に廃棄する。当たり前のようですが、実際には見落とされがちなポイントです。

まとめ

三菱製紙も外部専門家にフォレンジック調査を依頼し、原因究明と再発防止策の策定を行っています。社内だけでは気づけない問題点を指摘してもらえることもあります。

サイバーセキュリティは、一度対策を講じたら終わりというものではありません。今回の事件を他人事とせず、自社のセキュリティ体制を見直すきっかけにしていただければと思います。