最近、アサヒやASKULなどのインターネットを介した不正侵入事案があとを絶たない状況になっていますが、今度は日本経済新聞社で業務で使用しているビジネスチャットサービスの「Slack」が外部から不正にログインされて、社員や取引先などの情報が流出した疑いがあると発表がありました。
社員の個人で保有しているパソコンがウイルスに感染して、Slackの認証情報が流出して、この情報をもとに社員のアカウントに不正ログインしたと考えられているようです。日本経済新聞社では9月の段階で被害を把握して、パスワードを変更するなどの対策を実施したとしています。
しかし、9月に発覚して11月に入ってから事案の公表をするというのは、あまりにも対応が遅すぎると思います。普段は他社の事案について報道する立場でありながら、何が公表を遅らせたのでしょうか。流出した可能性のある情報はSlackに登録されていた、氏名やメールアドレス、チャット履歴など1万7368人分としています。また、記事によれば報道・著述目的の個人情報は漏洩時の報告義務などの個人情報保護法の適用を受けないが事案の重要性や透明性の確保を考慮し個人情報保護委員会に任意で報告したとしています。Slack上でどんな情報のやりとりをしていたか全数の把握が困難だと思われる中、「報告義務がない」と断定するのは如何なものなのかと思いました。9月の発覚時に最悪の可能性を意識して報告する必要があったのではないかと思います。報告文書の中に「取材先や取材に関する情報の漏洩は確認されていない」としていますが、この白黒をはっきりさせるために時間をかけて調査をしていたのかもしれません。
Slackはチームコミュニケーションをする中でとてもオープンで便利なサービスではありますが、確かに不正侵入されたときには多くの情報を搾取されてしまう危険と隣り合わせになっています。今回の事案はSlackをビジネスで導入する際にはセキュアーな認証を前提とするほか、社員の個人保有端末では使わない、標的型攻撃に注意するための社員向け訓練を受けてもらうなど、セキュリティ確保を万全にしないと危ないことを警告していると思います。
コメント