中国電力で1万5千人超の個人情報流出か　不正アクセス事件をフォレンジック専門家が徹底解説

2025年4月、中国電力株式会社で深刻なサイバーセキュリティインシデントが発生しました。社内ネットワークへの不正アクセスにより、同社および中国電力ネットワークの社員等15,566人の個人情報が外部に流出した可能性があることが明らかになったのです。

現役のCSIRT（Computer Security Incident Response Team）メンバーとして、数多くのサイバー攻撃事案を調査してきた経験から、今回の事件を詳しく分析してみたいと思います。

事件の経緯と初動対応

4月21日、中国電力の情報システム担当部署が不正アクセスを検知。この迅速な検知は評価できる点です。多くの企業では、不正アクセスの発見が数週間から数ヶ月遅れることも珍しくありません。

検知後、同日中に問題の接続機器をネットワークから切り離すという初動対応も適切でした。これにより被害の拡大を防ぐことができたと考えられます。

幸い、パスワードは「高度に暗号化されており、解読は困難」とのことですが、これでも楽観視はできません。

今回の攻撃は「社外からの社内ネットワークへの接続に利用する接続機器」が標的となりました。これはVPNゲートウェイやリモートアクセス装置を指していると考えられます。

中国電力は「当該接続機器における当社の設定に不備があった」と発表していますが、具体的には以下のような問題が考えられます：

フォレンジック調査を行う中で、同様の被害を受ける企業の共通点を多く見てきました。今回の事件から、企業が学ぶべき重要なポイントをお伝えします。

コロナ禍以降、リモートワークの普及でVPN等のリモートアクセス環境が攻撃の標的となるケースが急増しています。実際に私が調査した事例でも、VPNの脆弱性を突いた攻撃が全体の約30%を占めています。

個人利用でも、信頼できるVPN を使用することで、より安全なリモート接続環境を構築できます。

今回、電力供給システムへの影響がなかったのは、ネットワークセグメンテーションが機能していたためと考えられます。一つのシステムが突破されても、他のシステムへの影響を最小限に抑える設計は非常に重要です。

中国電力が4月21日に不正アクセスを検知できたのは、適切な監視体制があったからです。しかし、個人や中小企業では24時間体制での監視は現実的ではありません。

そこで重要になるのが、優秀なアンチウイルスソフトの導入です。最新の脅威情報を元にしたリアルタイム保護機能により、未知の攻撃も検知・ブロックできる可能性が高まります。

過去の調査経験から、電力会社やインフラ企業への攻撃には以下のような特徴があります：

昨年調査したある製造業では、同様の手口で従業員情報が流出した3ヶ月後に、その情報を使った精巧な標的型メールによる二次攻撃を受けました。従業員の個人情報は「単なる情報」ではなく、より大きな攻撃への「入り口」として悪用される危険性があります。

企業レベルでの対策も重要ですが、私たち個人レベルでできることもあります：

今回流出した可能性のあるパスワードは暗号化されていましたが、完全に安全とは言えません。定期的なパスワード変更と、使い回しの回避が重要です。

可能な限り、すべてのアカウントで多要素認証を有効にしましょう。パスワードが漏洩しても、追加の認証要素があれば不正アクセスを防げます。

個人のデバイスにも高品質なアンチウイルスソフトを導入し、リアルタイム保護を有効にすることで、標的型攻撃のリスクを大幅に軽減できます。

中国電力は「外部のセキュリティ専門機関等のご意見もいただきながら、情報セキュリティ対策および監視体制の強化を進める」と発表しています。これは正しいアプローチです。

フォレンジック調査の現場では、事件後の対応がその後の企業の信頼回復に大きく影響することを度々目にします。透明性のある情報開示と、根本的な原因への対処が重要になります。

今回の中国電力の事件は、リモートアクセス環境のセキュリティの重要性を改めて浮き彫りにしました。企業規模に関わらず、適切なセキュリティ対策の実装と継続的な監視が不可欠です。

個人レベルでも、信頼できるアンチウイルスソフトやVPN を活用することで、サイバー攻撃のリスクを大幅に軽減できます。

サイバーセキュリティは「完璧」を目指すのではなく、「継続的な改善」が重要です。今回の事件を教訓に、より強固なセキュリティ体制の構築を進めていくことが求められています。