アクロニス・ジャパンは11月13日に、公式ブログにて「日経新聞Slack不正アクセス事案に見る、私物PC・エンドポイントから社内ツールへ広がるリスク」と題した記事を公開している。同記事は、11月4日に発生した日本経済新聞社におけるビジネスチャット「Slack」への不正ログイン、および個人情報流出の事案を受けて執筆されたという。
●企業ポリシーに沿った管理が重要
今回公開された記事では、日本経済新聞社でのインシデントをきっかけとして、「こうした個人情報漏えいインシデントが起こるときに、現場でよく使われる攻撃チェーンとはどういうものなのか」をあくまで一般論として整理・解説している。
SlackやTeams、Microsoft 365といったSaaSから情報が漏れるインシデントは、
○フィッシングメールの添付ファイルを開いてしまう
○偽ログインページでID/パスワードを入力してしまう
○マルウェア付きのソフトやクラック版をインストールしてしまう
といった行動が攻撃の出発点になっていることが多く、かつては進入後すぐにランサムウェアによってファイルを暗号化して、身代金を要求するというパターンが一般的だったが、近年はまず情報窃取型マルウェア(インフォスティーラー)を仕込むケースが非常に多い。
インフォスティーラーは、ウェブブラウザに保存されたID/パスワード、Cookie、セッショントークン、各種クラウドサービスのアクセストークン、OSやアプリの資格情報ストアに入っている秘密情報などを一気にかき集めて攻撃者のサーバへ送信する。攻撃者へ送信されたデータの中に、SlackやTeams、Microsoft 365に関する情報が含まれている場合、一気にクラウド環境が丸裸になってしまい、危険にさらされることになる。
インフォスティーラーによる典型的な浸入パターンとして、同記事では
○請求書や見積書を装ったOfficeファイル(マクロ付き)
○圧縮ファイル(ZIP/RAR/ISO)に偽装されたインストーラー
○クラックソフト/偽ライセンスジェネレーター
○検索結果や広告を悪用した「偽公式サイト」
○偽ブラウザ更新・偽セキュリティーソフト
○チャット/コラボレーションツール経由のファイル・リンク
を挙げている。
インフォスティーラーが情報を盗み出した後、攻撃者はそこに含まれていたSlackやTeams、Microsoft 365のクレデンシャル/トークンを使ってクラウドサービスにログインし、結果として「コラボレーション環境の内側」に立ってしまう。
一方、インフォスティーラーは進入後に
○ユーザーリスト、チャンネル構成、外部連携の状況
○DMやプライベートチャンネルを含むチャット履歴のダンプ
○添付ファイル・共有リンクからのファイル
○他社との共有チャンネル(Slack Connectなど)を足掛かりにした横展開
といった情報を収集し、ユーザーの「氏名」と「メールアドレス」だけでなく、会話の文脈、プロジェクト名、役職、誰が誰とどういう関係性なのかといった、「人間関係グラフ」そのものが盗み出される。
さらに、インフォスティーラーによって収集された情報が、過去の会話やプロジェクト名を引用した超リアルなビジネスメール詐欺、取引先や顧客になりすました支払い依頼やアカウント更新メール、会員・読者・視聴者を装ったフィッシングキャンペーンといった攻撃に再利用される可能性があると指摘する。
同記事では、今回の日本経済新聞社におけるインシデントを私物端末(BYOD)とシャドーITの問題と総括し、組織がBYODやシャドーITと付き合っていくためには、
○「どこまでOKか」を明文化する
○技術でガードレールを敷く
○ユーザー教育を「共犯関係」で進める
ことが必要であると述べる。また、このような情報漏えいや、それにともなう被害を防ぐために、同記事では「端末」「SaaS・ID」「バックアップ/ログ」を三位一体で設計することが、もっとも理想的な近道だと訴えている。
【注目の記事】
高出力で大容量 Anker最高峰の充電器シリーズ「Anker Prime」に6製品が登場
アクロニス、オンプレミスとデータソブリン環境に対応した「Cyber Protect 17」を提供
MUJIが止まった日、ランサムウェアが突きつけた“連鎖リスク”をアクロニスが公開
「守る力」が進化! 「Acronis True Image 2026」で家庭も仕事も鉄壁セキュリティー
アサヒGHDサイバー攻撃から学ぶ企業の備え、アクロニスが考察
●企業ポリシーに沿った管理が重要
今回公開された記事では、日本経済新聞社でのインシデントをきっかけとして、「こうした個人情報漏えいインシデントが起こるときに、現場でよく使われる攻撃チェーンとはどういうものなのか」をあくまで一般論として整理・解説している。
SlackやTeams、Microsoft 365といったSaaSから情報が漏れるインシデントは、
○フィッシングメールの添付ファイルを開いてしまう
○偽ログインページでID/パスワードを入力してしまう
○マルウェア付きのソフトやクラック版をインストールしてしまう
といった行動が攻撃の出発点になっていることが多く、かつては進入後すぐにランサムウェアによってファイルを暗号化して、身代金を要求するというパターンが一般的だったが、近年はまず情報窃取型マルウェア(インフォスティーラー)を仕込むケースが非常に多い。
インフォスティーラーは、ウェブブラウザに保存されたID/パスワード、Cookie、セッショントークン、各種クラウドサービスのアクセストークン、OSやアプリの資格情報ストアに入っている秘密情報などを一気にかき集めて攻撃者のサーバへ送信する。攻撃者へ送信されたデータの中に、SlackやTeams、Microsoft 365に関する情報が含まれている場合、一気にクラウド環境が丸裸になってしまい、危険にさらされることになる。
インフォスティーラーによる典型的な浸入パターンとして、同記事では
○請求書や見積書を装ったOfficeファイル(マクロ付き)
○圧縮ファイル(ZIP/RAR/ISO)に偽装されたインストーラー
○クラックソフト/偽ライセンスジェネレーター
○検索結果や広告を悪用した「偽公式サイト」
○偽ブラウザ更新・偽セキュリティーソフト
○チャット/コラボレーションツール経由のファイル・リンク
を挙げている。
インフォスティーラーが情報を盗み出した後、攻撃者はそこに含まれていたSlackやTeams、Microsoft 365のクレデンシャル/トークンを使ってクラウドサービスにログインし、結果として「コラボレーション環境の内側」に立ってしまう。
一方、インフォスティーラーは進入後に
○ユーザーリスト、チャンネル構成、外部連携の状況
○DMやプライベートチャンネルを含むチャット履歴のダンプ
○添付ファイル・共有リンクからのファイル
○他社との共有チャンネル(Slack Connectなど)を足掛かりにした横展開
といった情報を収集し、ユーザーの「氏名」と「メールアドレス」だけでなく、会話の文脈、プロジェクト名、役職、誰が誰とどういう関係性なのかといった、「人間関係グラフ」そのものが盗み出される。
さらに、インフォスティーラーによって収集された情報が、過去の会話やプロジェクト名を引用した超リアルなビジネスメール詐欺、取引先や顧客になりすました支払い依頼やアカウント更新メール、会員・読者・視聴者を装ったフィッシングキャンペーンといった攻撃に再利用される可能性があると指摘する。
同記事では、今回の日本経済新聞社におけるインシデントを私物端末(BYOD)とシャドーITの問題と総括し、組織がBYODやシャドーITと付き合っていくためには、
○「どこまでOKか」を明文化する
○技術でガードレールを敷く
○ユーザー教育を「共犯関係」で進める
ことが必要であると述べる。また、このような情報漏えいや、それにともなう被害を防ぐために、同記事では「端末」「SaaS・ID」「バックアップ/ログ」を三位一体で設計することが、もっとも理想的な近道だと訴えている。
【注目の記事】
高出力で大容量 Anker最高峰の充電器シリーズ「Anker Prime」に6製品が登場
アクロニス、オンプレミスとデータソブリン環境に対応した「Cyber Protect 17」を提供
MUJIが止まった日、ランサムウェアが突きつけた“連鎖リスク”をアクロニスが公開
「守る力」が進化! 「Acronis True Image 2026」で家庭も仕事も鉄壁セキュリティー
アサヒGHDサイバー攻撃から学ぶ企業の備え、アクロニスが考察
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)