外部委託先が引き起こした不正アクセスとは？フジクラ事件に学ぶセキュリティ強化の重要性

2024年12月25日、東証プライム上場企業である株式会社フジクラは、同社ネットワークへの不正アクセスについて発表しました。

この事件は、企業のサイバーセキュリティ対策の重要性を改めて浮き彫りにし、特に外部委託先の管理体制の脆弱性が大きな課題として浮上しました。

事件の概要
漏洩した可能性のある情報
企業のサイバーセキュリティ対策の重要性
まとめ

事件の概要

2024年7月2日、フジクラの情報ネットワークに外部から不正アクセスがあったことが判明しました。侵入経路は、ネットワークの保守運用を委託していたNTTコミュニケーションズが管理するネットワーク保守・監視用VPN装置でした。NTTコミュニケーションズによる原因分析調査の結果、VPN装置の管理に不備があり、残存していた脆弱性が悪用されたことが原因と特定されました。
^{同社公式サイト：https://www.fujikura.co.jp/news/general/__icsFiles/afieldfile/2024/12/24/release20241225.pdf}

詳しく知る

脆弱性とは？サイバーセキュリティの要を守るための知識と対策

三井住友信託銀行の事例に学ぶ業務委託先ランサムウェア攻撃のリスクと対策

漏洩した可能性のある情報

フォレンジック調査の結果、フジクラの佐倉事業所の複数のサーバに外部からのアクセスおよびデータ流出の痕跡が確認されました。漏洩した可能性のある個人情報には以下が含まれます。

取引先従業員、大学関係者、社外関係者の情報
フジクラおよびグループ会社の従業員・元従業員とその家族の情報
- 氏名、住所、電話番号、メールアドレス、生年月日、性別等の基本情報
人事関連情報、インボイス番号、銀行口座番号（暗証番号は含まず）

クレジットカード情報やマイナンバーは含まれていないことが確認されています。

フジクラによると、本件による同社の生産活動への影響はなく、現時点で流出が問題となるような業務上の秘密の流出も確認されていないません。

東京海上日動火災保険の個人情報漏洩から考えるランサムウェア攻撃と企業のセキュリティ対策の必要性

また、インターネット上でのデータ公開や不正利用などの二次被害も確認されていません。

企業のサイバーセキュリティ対策の重要性

この事件は、企業のサイバーセキュリティ対策、特に外部委託先の管理の重要性を浮き彫りにしました。VPNは一般的に安全性の高い技術とされているが、適切な管理と定期的なセキュリティパッチの適用が不可欠です。企業は以下の点に注意を払う必要があります。

外部委託先の選定と管理の厳格化
セキュリティパッチの定期的な適用
多層防御の実施（多要素認証、暗号化、アクセス制御など）
従業員のセキュリティ意識向上のための教育
インシデント対応計画の策定と定期的な訓練

おすすめウェビナーのご紹介！

昨今のサイバー攻撃と言えばランサムウェア攻撃が代表的ですが、ランサムウェアアクターは個人情報や設計情報、営業情報といった秘密情報を窃取し、その情報を公表しないことを条件に身代金を要求します。
情報漏洩を防止するには、まずは外部からのサイバー攻撃を検知し防御することが重要ですが、情報漏洩を引き起こすのは外部の攻撃者だけではありません。
権限を持った組織内のユーザーであれば、サイバー攻撃対策ソリューションがあったとしても、秘密情報に容易にアクセスし漏洩させることができます。

本セミナーの第一部では、EDRとSOCを使った外部からのサイバー攻撃の検知・防御手法につきご説明いたします。
本手法はEDRのログにより内部不正活動を記録し、場合によっては防止することも可能です。そして、これに加えて更なるセキュリティ対策としてご提案するのが、第二部でご紹介するファイル暗号化・IRMソリューションです。
IRMで秘密ファイルを暗号化すれば、権限を持ったユーザーが認証を経たときのみ復号化されますので、万一のファイル漏洩時にも情報自体は公開されません。

アジェンダ

ご挨拶
アクト横井より EDR + SOCについて
株式会社データクレシス　津村様より暗号化について

開催形式
オンライン/録画配信
登壇者

まとめ

フジクラの情報漏洩事件は、企業のサイバーセキュリティ対策の重要性を再認識させる出来事となりました。特に、外部委託先の管理体制の脆弱性が大きな課題として浮き彫りになりました。企業は自社のセキュリティ対策だけでなく、取引先や委託先のセキュリティ管理にも十分な注意を払う必要があります。今回の事件を教訓として、企業は以下の点に注力すべきです。