エスカ&レン:今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
エスカ:あっという間に2月ですね!2月は節分やバレンタインなど、イベントが多い印象です。
レン:特にバレンタインの時期って限定チョコがいっぱい出るから、つい売り場を覗いてしまうよ。
エスカ:そうですね。どれも魅力的で、自分へのご褒美にもぴったりですね。
さて、今回ご紹介するトピックスはこちらです!
業務用端末の Apple Account 乗っ取りで個人情報流出の可能性|アルケア株式会社
エスカ:まずは、SMSを悪用したフィッシング(スミッシング)による被害事例をご紹介します。
アルケア株式会社は2025年12月25日、従業員に貸与している業務用携帯電話が不正アクセスを受け、電話帳に登録していた個人情報等などが外部へ流出した可能性があると発表しました。
事故の原因は、従業員がセキュリティ強化を求めるSMSから偽サイトへ誘導され、Apple Account の認証情報を入力してしまったことでした。
翌日には攻撃者によってアカウント情報が書き換えられ、業務用携帯電話1台が初期化されていることが確認されました。この乗っ取りにより、情報が流出した可能性があると判断されています。
また、セキュリティ情報も書き換えられていたため、アカウントの復旧は不可能な状況とのことです。
流出した可能性のある情報は、大きく分けて2種類です。
1つは茨城県と栃木県の医療機関・代理店の顧客情報(医療機関名または会社名、氏名、電話番号)約200件、もう1つは同社および関係会社の従業員情報(氏名、業務用携帯電話番号、メールアドレス)約400件とされています。
同社は事故発覚後、可能な限り対象者を特定し、個別連絡を進めています。また、外部専門家の協力のもとで事実関係の調査を進めるとともに、セキュリティ体制の強化や従業員教育の徹底を図るなど、再発防止に努めるとしています。
■推奨する対応策
・フィッシングメールやSMSの手口や見分け方を従業員に周知する
・多要素認証を導入する
・ローカル上での情報管理は必要最小限に抑える
■関連サービス
・標的型メール訓練:不審なメールへの対処方法(開かない、開いてしまった場合の報告)の訓練
・セキュリティ教育:従業員に対するセキュリティ意識の向上
・SCSmart ASM :外部公開資産や漏えいしている[大佐1.1]認証情報の管理・監視
エスカ:情報が書き換えられてアカウント復旧もできなくなるなんて、本当に深刻な事態だよね。
レン:届いたメッセージを疑う視点を持つことが大事だね。見た目が本物のようでも、まずは落ち着いて確認する癖をつけたいな。
そふくリス:万が一の情報流出に備えた体制や、端末のデータ管理方法も見直す必要があるね。誰がどんな情報を持っているか把握しておくのも重要だよ。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
- 第6回
sponsored
情シスの適正な人数は何人? 調査から見る、8年間の変遷と企業規模別情シス体制 - 第4回
sponsored
2026年のサイバーセキュリティ、国内インシデント事例と注目すべき脅威を解説 - 第3回
sponsored
【イベントレポート】「情シス Update Day 2025 in 東京」 ソフトクリエイトが開催 - 第2回
sponsored
【イベントレポート】「情シス Update Day 2025 in 名古屋」ソフトクリエイトが開催 - 第1回
sponsored
サイバー攻撃で悪用される脆弱性の特徴とは? 事例から学ぶ脆弱性対策のポイント



