事故から学ぶ

不正アクセス被害によるスパムメール送信についてのお詫び 株式会社イーアールアイ

事故概要

業種 ITサービス
発生時期 2020/8/18
漏えい人数 未発表
事故概要

2020年8月18日、弊社のメールサービスを管理している運営会社様より連絡があり、弊社従業員1名のメールアカウントが不正アクセスの被害に遭い、当該アカウントがスパムメール送信の踏み台とされていたことが判明いたしました。
弊社のメールアドレスドメイン:@erii.co.jpから不審なメールが届いておりましたら、本文中に記載されているURLを開いたり、添付されているファイルなどは開かずに、メールごと削除していただきますようお願いいたします。
なお、この不正アクセスによる情報漏洩の被害については今のところ確認されておりません。
当該アカウントについては、直ちにパスワードの変更を行いました。
また、全社員のPCについてウイルス対策ソフトでのフルスキャンを実施し、ウイルス感染などが起きてないことを確認しました。
加えて、改めて全社員でパスワードの使いまわしされていないかを点検いたします。
ご迷惑をおかけしてしまった関係者の皆様には深くお詫び申し上げます。情報セキュリティに関して強化を図り、今後の再発防止に努めて参ります。

引用元 株式会社イーアールアイ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-3(第20条)安全管理措置 パソコン設定 携帯電話設定(インターネット利用 不正ログイン防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールアドレスを踏み台にした不正アクセスだと思慮される。メールの連続送信機能など、シンプルなものでも被害を防げるものが多いので、対策検討をお願いしたい。

大量のスパムメールを中継したサーバーが不正中継データベースに登録され、正規の電子メールまでブロックされてしまう状況が生じるので深刻な問題である。

具体例:

手口も対策もネットに掲載されているので、信頼できるサイトの情報をたどって、自社にあう対策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。