「うちはちゃんとセキュリティ対策してるから大丈夫」
そう思っていても、使っているツールやサービスが攻撃されたら、どうしようもないことがあります。 今回紹介するニュースは、まさにそういう事例です。
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、地域情報SNS「ジモティー」の開発環境が侵害された事例から、中小企業で1人で情シスを担当している私たちが考えておきたいことを整理してみます。
参考記事
ジモティー開発環境の侵害、自動ビルド用外部プログラムに不正コード
弊社利用システムへの不正アクセスに関する調査結果のご報告 | 株式会社ジモティ
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
今回のニュースは、地域情報SNSアプリ「ジモティー」を運営する会社の開発環境が侵害された、というものです。
原因は、開発時に使用していた「外部プログラム」に不正なコードが混入していたことです。
この外部プログラムを通じて、開発環境に保存されていた情報が外部からアクセス可能な状態になり、実際に第三者によってアクセスされました。
流出した可能性のある情報は以下の通りです。
- 特定カテゴリーの問い合わせフラグ情報:約11万5千件
- 従業員・元従業員・社外協力者の氏名とメールアドレス:101人分
- 従業員の社内業務用サービスIDとアカウント名:111人分
ポイントは、「ジモティー自体が攻撃されたのではなく、使っていた外部プログラムが攻撃されていた」ということです。
この記事から考えたいこと
今回の事例は「サプライチェーン攻撃」と呼ばれるものです。
「サプライチェーン」と聞くと、製造業の部品調達をイメージするかもしれません。
ITの世界でも同じで、私たちは多くの「外部のもの」に依存してシステムを動かしています。
今日考えたいことは、「自社だけ守っても防げない攻撃がある」ということです。
サプライチェーン攻撃とは何か
簡単に言うと、「攻撃者が、あなたの会社を直接攻撃するのではなく、あなたが使っているツールやサービスを攻撃する」という手法です。
身近な例で考えてみる
中小企業でも、こんなものを使っていませんか?
- 会計ソフト(freee、マネーフォワード、弥生など)
- グループウェア(サイボウズ、Google Workspace、Microsoft 365など)
- ウイルス対策ソフト
- WordPressのプラグイン
- 無料のPDF変換ツール
これらはすべて「外部のもの」です。
もしこれらのツールに不正なコードが混入していたら、あなたの会社の情報が漏れる可能性があります。
実際に起きた事例
たとえば、先日発生したテキストエディタ「EmEditor」の公式サイトが改ざんされ、マルウェアが配布されてしまった事件もサプライチェーン攻撃です。 start-it.hatenadiary.com
「自社のセキュリティは万全だった」のに、使っているソフトが原因でマルウェアに感染させられたらたまったものではありません。
中小企業は何ができるのか
正直に言うと、サプライチェーン攻撃を100%防ぐことは不可能です。
使っているツールの内部まで私たちがチェックすることはできません。
ですが「被害を最小限にする」ことはできます。
今日からできる3つのこと
1. 使っているサービスを把握する
まず、自社で何を使っているか把握していますか?
意外と「誰かが勝手に入れたツール」や「昔から使っているけど誰も管理していないサービス」があったりします。
一度、次のようなリストを作ってみてください。
- 契約しているクラウドサービス
- 社内PCにインストールされているソフト
- ブラウザの拡張機能
- WordPressなどのプラグイン
把握していないものは守りようがありません。
2. 「なくても困らないもの」は削除する
使っているツールが多いほど、攻撃される可能性も増えます。
「昔入れたけど、今は使っていない」というソフトやプラグインがあれば、削除しましょう。
特にブラウザの拡張機能は、知らないうちに増えていることが多いです。
3. 重要な情報の保存場所を見直す
今回のジモティーの事例では、「開発環境に個人情報が保存されていた」ことが被害を大きくしました。
あなたの会社でも、こんなことはありませんか?
- テスト用のExcelファイルに本物の顧客データが入っている
- 共有フォルダに古い名簿がそのまま残っている
- 個人のPCに顧客情報のコピーがある
「ここにあるべきではない情報」を整理するだけで、万が一のときの被害を減らせます。
今日からできること
- 使っているサービス・ソフトのリストを作る(まずは自分のPCだけでもOK)
- 使っていないソフト・拡張機能を削除する
- 「ここにあるべきではない」顧客情報がないか確認する
サプライチェーン攻撃を防ぐことは難しいですが、「被害を最小限にする準備」は今日から始められます。
経営者からこの件を聞かれたときの回答例
もし経営者から「このニュース見た?うちは大丈夫?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
はい、見ました。今回の事件は、ジモティーが使っていた外部のプログラムに不正なコードが入っていて、そこから情報が漏れたものです。
正直、この種の攻撃を完全に防ぐのは難しいです。でも、被害を小さくすることはできます。まず、うちで使っているソフトやサービスのリストを整理しようと思います。あと、使っていないものは削除して、攻撃される可能性を減らします。
それと、『ここに置いておく必要がない』顧客情報がないか、一度確認させてください。
万が一のときに、漏れる情報を最小限にしておきたいので。
ポイントは、「知っている」「考えている」「動こうとしている」ことを伝えることです。
「完全には防げない」と正直に伝えつつ、「でも、こういう対策をします」と具体的なアクションを示すことで、経営者も納得してくれます。
まとめ
今回のポイントをまとめます。
- ジモティーの開発環境が侵害され、約11万件の情報が流出の可能性
- 原因は「使っていた外部プログラム」への不正コード混入
- これは「サプライチェーン攻撃」と呼ばれる手法
- 自社のセキュリティが万全でも、使っているツール経由で攻撃される
- 100%防ぐことは不可能だが、被害を最小限にすることはできる
- 使っているサービスの把握、不要なものの削除、情報の保存場所の見直しが有効
「うちは開発とかしてないから関係ない」と思うかもしれません。
でも、会計ソフトもグループウェアもウイルス対策ソフトも、すべて「外部のもの」です。
どんな会社も、サプライチェーン攻撃と無関係ではいられません。
だからこそ、「万が一のときに被害を小さくする」準備を、今のうちにしておきましょう。
また気になるニュースがあったら、考察記事を書きたいと思います。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
