ここから本文です

「捜査機関と連携」楽天が引っかかった「オレ役員詐欺」”社外秘”メール入手

12/3(火) 16:21配信

文春オンライン

〈本件は個人情報の漏えいに該当するため、関係する各監督官庁等への相談を実施しています〉

【写真】この記事の写真を見る(4枚)

 12月3日、西日本新聞が報じた楽天グループの会社役員を名乗る人物による、楽天社員の個人情報流出事件。楽天が事件を受けて、従業員の情報を管理する社内システム仕様や運用の見直しを進めており、監督官庁や捜査機関に相談していることが「週刊文春」の取材でわかった。

少なくとも10人が引っかかった

 楽天社員が声を潜めてこう語る。

「11月上旬、社員や従業員の情報が外部に漏洩したのです」

 会社の代表電話や社員個人の携帯電話にかけてきて、実在する役員を名乗り、「いま出張先でパソコンの調子が悪くて、社内ネットワークに接続できない。従業員のメールアドレスを教えてほしい」と英語で話したという。

「システムのことを詳しく話すので、本物の役員と信じた複数の従業員が、社員名簿から書き出した個人情報をファイルにまとめて、指定された社外のメールアドレスに送ってしまいました」(前出・楽天社員)

 オレオレ詐欺ならぬ、“オレ役員詐欺”に騙されたのだ。少なくとも10人が引っかかったとみられる。

「氏名や社用メールアドレス、所属や役職、内線番号や上司の名前など、500人の社員の個人情報が流出したのです」(同前)

 ところが、被害が発覚するまで10日間ほどかかった。

「外国人従業員が『この前、役員から電話が突然かかってきた』と同僚にポロッと話したことから、わかりました。社内の公用語は英語で、電話の相手も英語で話してきたので、全く疑わなかったそうです。個人情報を扱う会社として意識が低すぎる」(別の楽天社員)

 事件を受けて、11月20日、CIO(最高情報責任者)を務める平井康文副社長が、楽天全従業員に“社外秘”の次のような注意喚起メールを送った。

昔からあるソーシャル・エンジニアリングの手口

〈この度、楽天グループの複数の従業員が、当グループの役員を名乗る人物から電話にて虚偽の指示を受けた結果、社内システムに登録された従業員の一部の情報(氏名、社用メールアドレス、会社名、所属部門、役職、勤務地、内線電話番号、上司氏名)が社外に流出するという事態が発生しました〉

〈本件の報告を受け、社内で調査を実施したところ、当該人物の指定した社外メールアドレスに対し、ほかにもグループ内からメールが送信されていたことが確認された。送信していた各従業員に聞き取り調査を実施したところ、いずれも類似の手口が確認されている〉

 また、メールには監督官庁へ相談したり、捜査機関と連携して対応を進めていくと記され、従業員に注意喚起を促していたりする。

 サイバーセキュリティー教育を行うトライコーダの上野宣社長が話す。

「今回の手口は昔からあるもので、ソーシャル・エンジニアリング(人間の心理や行動のミスにつけこんで情報などを入手するのが目的)という手法。社員情報を使って、カードやモバイルなどあらゆる顧客情報が狙われる可能性があります。たとえば従業員が『会議で使うからダウンロードしてくれ』とメールで指示されて、ダウンロードしたらウイルスだったという事態が起こるかもしれません」

1/2ページ

最終更新:12/3(火) 19:03
文春オンライン

こんな記事も読まれています

あなたにおすすめの記事