2025年11月4日、日本経済新聞社は、社内で利用しているビジネスチャット「Slack」に外部から不正ログインがあり、社員・取引先等の氏名・メールアドレス・チャット履歴など最大1万7,368名分の情報が流出した可能性を発表しました。
取材先の情報流出は現時点で確認されていませんが、9月に把握後、パスワード変更等の初動対応を実施しています。法的には報道・著述目的の個人情報は個人情報保護法の適用外となる場合がありますが、同社は個人情報保護委員会へ任意報告を行い、再発防止を表明しています。
概要
今回の侵害は端末側の感染を起点に、盗まれた資格情報を使ってSlackアカウントへなりすましログインされた形跡があり流出の可能性があるのは、Slack上に登録されていた氏名やメールアドレス、やり取りされたチャット履歴など1万7368人分とされています。
同社はインシデントを9月に把握し、パスワードのリセットなどの対処を行いましたが、セッショントークンが盗まれている場合はパスワード変更だけでは不十分なこともあるため、引き続き影響の洗い出しが重要になります。
想定される原因
技術的にみると、私物PCに侵入した情報窃取型マルウェア(インフォスティーラー)がブラウザやアプリに残るクッキーやセッショントークンを吸い上げ、攻撃者がそのまま有効なログインとして再利用した可能性が高いと考えます。
多要素認証が必須でなかった、あるいはプッシュ通知の疲労攻撃などで突破された可能性も否定できません。セッション管理が甘いと、パスワードを替えても既存のセッションが生き続けるため、被害が広がります。
影響範囲と二次被害の懸念
氏名・メール・会話文脈が外部に渡ると、差出人や文面を巧妙に偽装したス標的型攻撃に悪用できます。
例えば、取材や請求書の提出や確認に関するメッセージを配信すれば一見すると見分けがつきません。
また、Slack Connectや外部アプリ連携が残っていれば、そこを踏み台に権限を広げる動きも想定されます。取引先情報を扱うチャンネルが含まれていれば、秘密保持契約や委託元への報告義務が生じる場合もあります。
関連記事
ディズニーがスラックの利用停止を検討 Nullbulge(ヌルバルジ)から1.1テラバイトのデータ盗難を受けて
福岡ひびき信用金庫の子会社サイトが改ざん被害
2000万以上のOpenAIのアカウント情報窃取疑惑、実際はインフォステーラーによる情報流出
93.7億件のクッキー(Cookie)がダークウェブに流出-「ただの同意」が大きなリスクに変わるとき
ディズニー、ロシア系ハッカー集団 Nullbulge(ヌルバルジ)からデータ盗難 1.1テラバイトの情報が漏洩
Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
160億件超の個人情報漏洩 疑惑は新事実か、それとも既存データの再集約か?
グーグル、約1.8億件のGmail アカウント 大規模 情報漏洩を否定-不正アクセスではなくマルウェア由来の寄せ集めリストか
