日経の「Slack」侵入で浮き彫りになった個人PCのリスク 取るべき対策をおさらい：セキュリティ専門家の見解

日本経済新聞社で攻撃者が社内「Slack」に入り込んで個人情報が漏えいしたことを受け、セキュリティ専門家は場所を問わずに働ける「ハイブリッドワーク」のリスクをあらためて指摘する。

[Aaron Tan，TechTarget]

　日本経済新聞社では、攻撃者が同社内で使われるビジネスチャットツール「Slack」に侵入し、約1万7000人の従業員や取引先の個人情報が漏えいした可能性があるセキュリティ事故が発生した。攻撃者はマルウェア感染した従業員の個人所有PCからSlackのログイン情報を盗んで不正アクセスに利用したとみられる。企業はこのセキュリティ事故から何を学べるのか。

セキュリティ専門家が指摘する個人PCのリスクと、データ保護策

併せて読みたいお薦め記事

情報漏えいを防止するには

• どれだけできている？　まさかの「データ流出」を防ぐ“11個の要点”
• 従業員によるデータ流出、その対策で大丈夫？　内部脅威はこう防ぐ

　漏えいしたデータには、Slackユーザーの名前やメールアドレス、チャット履歴が含まれる可能性がある。日本経済新聞社はSlackを一部の業務で利用していると説明するが、詳細は明らかにしていない。同社によると、このセキュリティ事故を発見したのは2025年9月だ。報道や報道関係者に関する情報の漏えいはなかったという。再発防止のために、パスワード変更の義務化など、セキュリティ対策を強化している。

　日本経済新聞社がセキュリティ問題に直面するのは今回が初めてではない。2022年5月、シンガポールの同社子会社がランサムウェア（身代金要求型マルウェア）攻撃を受けた。2019年9月には米国子会社Nikkei Americaがビジネスメール詐欺（BEC）の標的になった。

　セキュリティ専門家は、今回のセキュリティ事故がハイブリッドワーク（オフィスワークとテレワークを組み合わせた働き方）のリスクを浮き彫りにしていると指摘している。従業員が個人デバイスを使用して企業システムにアクセスする場合、セキュリティがユーザーのエンドポイントに依存するからだ。

　セキュリティベンダーAbsolute Softwareの国際担当シニアバイスプレジデント、アンディ・ワード氏は、「今回の事件は、管理されていない個人デバイスから始まった」と述べる。従業員が、企業が管理していないデバイスを使用して企業システムにアクセスすると、企業は保護策を十分に講じることができず、攻撃の温床になりやすいと同氏は言う。

　ワード氏は企業に対し、厳格なアクセス制御を実施し、企業データにアクセスする全てのデバイスを監視することを推奨している。

　セキュリティベンダーDarktraceのグローバルフィールド最高情報セキュリティ責任者（CISO）を務めるマックス・ハイネマイヤー氏は、「SaaS」（Software as a Service）利用に関するセキュリティリスクもあると指摘する。同氏によると、SaaSベンダーのセキュリティ対策が不十分な場合、SaaSに脆弱（ぜいじゃく）性が生じ、攻撃を招く恐れがある。SaaSのユーザー企業はパスワード管理や多要素認証（MFA）の実装といったことに取り組む他、システム監視による異常の早期発見も重要だとハイネマイヤー氏は強調する。