住友林業クレスト、サポート詐欺による不正アクセスで個人情報が漏えいの可能性

住友林業クレスト株式会社は、2025年3月24日に発生したサポート詐欺による不正アクセスにより、同社が保有する個人情報および業務情報が外部に漏えいした可能性があることを明らかにしました。

同社によると、本件はカスタマーサポート業務に従事する従業員が偽のサポートサイトへ誘導されたことを発端に発生しました。当該従業員は指示に従って遠隔操作ソフトをインストールしてしまい、その結果として攻撃者がPC端末へアクセスし、業務上の情報に不正アクセスしたとみられています。

漏えいの可能性がある情報

現在、外部調査機関と連携して被害状況の確認が進められており、以下の情報が漏えいした可能性があるとされています。

• 顧客の氏名：約500件

• 従業員の顔写真・携帯電話番号：約300件

• 顧客情報を含む図面、見積書等の業務資料：調査中

なお、これらの情報が実際に悪用された事実は現在のところ確認されていないとしています。

インシデントの概要と初動対応

今回の不正アクセスは、いわゆる「サポート詐欺」によって引き起こされたものであり、攻撃者は電話や偽サイトを通じて従業員を騙し、マルウェアや遠隔操作ソフトをインストールさせる手口を用いたとみられます。

インシデント発覚後、同社は即座に当該PC端末のインターネットおよび社内ネットワーク接続を遮断し、さらなる被害の拡大を防止。その後、関係行政機関への報告と並行して、影響を受けた可能性のある顧客・従業員への連絡を開始しました。

サポート詐欺とは？

今回の事件で用いられた「サポート詐欺」は、偽の警告メッセージやサポート連絡を用いてユーザーをだまし、不正なソフトウェアのインストールや個人情報の提供を誘導するサイバー犯罪の一種です。昨今は企業の業務端末を狙った事例も増加しており、エンドユーザーのリテラシーに依存するセキュリティホールとして、特に注意が必要です。

サポート詐欺広告は怪しいサイト「だけ」に表示されるわけではない

2024年に読売新聞で詐欺広告が表示されている事が徳丸さんや複数人が指摘しています。

必ずしも怪しいサイト「だけ」で表示されるわけではないので、組織全体のセキュリティリテラシーの向上が不可欠です。

読売新聞のサイトを見ていたらまたこれが出ました。対処はされていないのですね pic.twitter.com/gZcdnYsaDn

— 徳丸 浩 (@ockeghem) July 25, 2024

情報システム部門への示唆と対策のポイント

本件から読み取れる重要な教訓として、以下のような点が挙げられます。

• 業務端末でも「個人の判断」に依存したセキュリティリスクが顕在化していること

• 「サポート詐欺」などの社会的手口（ソーシャルエンジニアリング）への備えが不足している場合、内部からの情報流出が容易に起こり得る

• EDRやDLPなどの導入とあわせて、業務PCでの不要なソフトインストール禁止ポリシーの強化が必要

加えて、万一情報が流出した際に影響を最小化する仕組み（情報の区分管理・アクセス権の最小化）も、平時からの備えとして重要です。

まとめ

住友林業クレスト株式会社の情報漏えいの可能性は、サイバー攻撃の複雑化が中小・中堅企業にも及んでいる現実を浮き彫りにしました。企業規模に関わらず、全従業員のセキュリティリテラシー向上と技術的なセキュリティ施策の併用が求められています。

同社は引き続き調査と対応を進めるとともに、今後の情報開示を行う予定です。