三菱電機で8000人超の個人情報流出か、ウイルス対策システムの脆弱性突いたゼロデイ攻撃が原因

　三菱電機株式会社は、第三者による不正アクセスにより、最大約8000人の個人情報が流出したことを明らかにした。同社が利用するウイルス対策システムの脆弱性を突いた攻撃が原因だという。

　三菱電機では、2019年6月28日に端末の不審な挙動を認識後、外部からのアクセスを制限し、関係機関へ報告を行った。社内調査の結果、防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないことを確認している。

　流出した可能性のある個人情報は最大8122人分。2017年10月入社～2020年4月入社の新卒採用応募者および2011年～2016年の経験者採用応募者1987人分、同社従業員4566人分、同社関係会社退職者1569人分の情報が含まれる。

　技術資料や営業資料などの企業機密も流出した可能性があり、個人情報を含めると流出したデータ量は推定200MBに上る。しかし、一部の端末では送信されたファイルを特定するためのログが攻撃者によって消去されたことから特定が困難な状態となっている。

　同社が利用するウイルス対策システムのセキュリティパッチ公開前の脆弱性を突かれたことが原因。監視・検知システムをすり抜ける手法で、ログも消去されたことから調査に時間を要したと説明している。

　個人情報流出の可能性がある社外の対象者には1月20日から謝罪文書を送付し、専用窓口を設置した。また、企業機密が流出した可能性のある関係者にも状況の報告を行う。

　今後は調査結果を踏まえて情報セキュリティ対策および監視体制の強化を行い、再発防止を図るとしている。

三菱電機が公開した情報