2025年11月4日、株式会社QUICKは、社員の個人保有PCがウイルスに感染した結果、業務で使用するID(メールアドレス)とパスワードなどの認証情報が流出し、あわせて社員2名のメールアドレスが流出したと公表しました。
概要
現時点で、当該社員アカウント以外への不正アクセスは確認されていないものの、パスワード変更等の初動対応を完了し、個人情報保護委員会への報告も実施済みとしています。加えて、当該社員が私用のクラウドサービスに保存していた業務情報に、同社および関連会社の役職員に関する情報が含まれていた可能性が示されています。
なお取引先・顧客情報はアクセス可能な業務情報に含まれていないとの説明です。
個人端末で業務IDを利用する危険性
私物端末は管理者権限の統制、脆弱性パッチの適用、マルウェア対策、デバイス暗号化、外部メディア制御といった基本統制が十分でないことが多く、攻撃者にとって狙いやすい入口になります。
ブラウザに保存されたパスワードやセッション情報、メールクライアントの資格情報、認証アプリのバックアップデータ等は、情報窃取型マルウェア(インフォスティーラー)の典型的な窃取対象です。
さらに、私用クラウドや個人アプリに業務データを保存する行為は、組織のDLPやアクセス監査の外側にデータを持ち出すことになり、漏えい発見の遅延や削除不能といった問題を引き起こします。家庭内共有や紛失・盗難に伴う第三者利用、ルータ設定不備による盗聴リスクなど、物理・ネットワーク両面の不確実性も高くなります。
組織の対策
制度面では、私物端末での業務ID使用を原則禁止とし、例外は期限付き許可とする方針を明文化します。業務データの保存先を会社指定のストレージに限定し、私用クラウドへの保存禁止と違反時の是正手順を定めます。
技術面では、ゼロトラストの考え方に基づき、条件付きアクセスにより未管理端末からのログインを遮断し、準管理(MAM)も含めたデバイスポスチャの判定を強制します。
多要素認証はFIDO2などフィッシング耐性の高い方式を標準とし、SMSやメールコード中心の手段から移行します。EDRやモバイル脅威防御を導入し、情報スティーラーやクリップボード監視型の振る舞い検知を有効化します。
関連記事
日経新聞のSlackへ不正アクセス、約1.7万人の社員・取引先等の個人情報漏洩の恐れ
サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ
和歌山県の紀和病院、非常勤医師の自宅PCが「サポート詐欺」で不正アクセスの被害
2025年に発生したボイスフィッシング(ビッシング)の事例
ローレルバンクマシンのJijillaへの不正アクセスで慶應義塾大・通信教育部が情報流出の可能性を発表
ランサムウェア グループ Qilinが食品スーパー「スーパーバリュー」へ不正アクセスによるサイバー攻撃を主張
2000万以上のOpenAIのアカウント情報窃取疑惑、実際はインフォステーラーによる情報流出
93.7億件のクッキー(Cookie)がダークウェブに流出-「ただの同意」が大きなリスクに変わるとき
160億件超の個人情報漏洩 疑惑は新事実か、それとも既存データの再集約か?
