電通子会社Merkle、サイバー攻撃でクライアント・従業員情報流出 - 給与データや個人情報が対象

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年10月、電通グループの海外子会社である米国のMerkleで深刻なサイバーインシデントが発生しました。このインシデントにより、クライアント企業、取引先、そして現・元従業員の機密情報が外部に流出する事態となっています。

今回の事件は、企業のサイバーセキュリティ対策がいかに重要かを改めて浮き彫りにしました。特に、給与情報や銀行口座といった極めて機密性の高い情報が含まれていることから、影響を受ける可能性のある関係者は迅速な対応が求められています。

Merkleサイバーインシデントの詳細
1. 流出した情報の内容
2. 企業の初動対応
企業が学ぶべき教訓と対策
1. 早期検知システムの重要性
2. システム分離の重要性
個人が取るべき防御策
1. 被害を受けた可能性がある方へ
2. フィッシング攻撃への警戒
企業のWebセキュリティ強化策
1. ゼロトラスト原則の導入
2. Webサイトの脆弱性対策
インシデント発生時の対応手順
1. 初動対応の重要性
2. 証拠保全の重要性
まとめ
一次情報または関連リンク

Merkleサイバーインシデントの詳細

流出した情報の内容

調査により確認された流出情報は以下の通りです：

銀行口座情報・給与関連データ（ペイロール情報）
給与額の詳細
個人の連絡先情報
国民保険番号（National Insurance number）
クライアント企業の機密情報
取引先の関連データ

特に注目すべきは、Merkleの英国（UK）拠点で大きな影響が確認されている点です。一方で、電通は日本国内のネットワークには影響が及んでいないと発表しており、地域的な封じ込めが功を奏したと考えられます。

企業の初動対応

Merkleは「異常な活動」を検知した直後、以下の対応を実施しました：

インシデント対応手順の即座発動
一部システムの予防的停止
封じ込め措置の実施
外部サイバーセキュリティ専門家の招聘
各国関係当局への報告

現在、停止していたシステムは復旧済みとされており、外部のインシデントレスポンス（IR）チームと連携して原因究明と影響評価が進められています。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

企業が学ぶべき教訓と対策

早期検知システムの重要性

今回のケースでMerkleが「異常な活動」を検知できたのは、適切な監視システムが機能していたからです。現役CSIRTメンバーとしての経験上、多くの中小企業では以下の問題が見受けられます：

ログ監視が不十分で、侵入を数ヶ月間気づかない
異常なファイルアクセスパターンを検知できない
内部ネットワークでの不審な通信を見逃す

個人事業主や中小企業であっても、最低限の監視体制は必要です。アンチウイルスソフトのような包括的なセキュリティソリューションを導入することで、Merkleと同様の早期検知が可能になります。

システム分離の重要性

今回、日本国内のネットワークに影響が及ばなかったのは、適切なネットワーク分離が行われていたからと推測されます。これは企業規模に関わらず実践すべき基本原則です：

重要データの物理的分離
アクセス権限の最小化原則
ネットワークセグメンテーション

個人が取るべき防御策

被害を受けた可能性がある方へ

Merkleから通知を受けた、または関係者である可能性がある場合、以下の対策を直ちに実施してください：

パスワードの即座変更
- すべてのオンラインアカウントのパスワードを変更
- 特に銀行口座、クレジットカード関連を優先
二要素認証の有効化
- 可能な限りすべてのサービスで2FAを設定
- SMS認証よりもアプリベースの認証を推奨
口座モニタリングの強化
- 銀行口座の取引履歴を毎日確認
- 不審な取引があれば即座に金融機関に連絡

フィッシング攻撃への警戒

個人情報が流出した場合、必ずと言っていいほど標的型フィッシング攻撃が続きます。フォレンジック調査では、初回の情報流出から数週間後に精巧なフィッシングメールが送られるケースが頻発しています。

特に注意すべきポイント：

送信者が実在する取引先を装っている
流出した個人情報を使って信憑性を高めている
緊急性を装って冷静な判断を阻害する

こうした脅威から身を守るために、VPN を利用してオンライン活動を保護することも有効な対策の一つです。

企業のWebセキュリティ強化策

ゼロトラスト原則の導入

今回のようなインシデントを防ぐには、「内部ネットワークは安全」という前提を捨て、すべての通信を検証する必要があります。

中小企業でも実践可能な対策：

従業員のアクセス権限定期見直し
機密ファイルへのアクセスログ保存
異常なファイルダウンロードの検知

Webサイトの脆弱性対策

企業のWebサイトが侵入口となるケースも少なくありません。特に顧客情報を取り扱うWebサイトでは、定期的な脆弱性診断が必須です。

Webサイト脆弱性診断サービスのような専門サービスを活用することで、攻撃者に悪用される前に脆弱性を発見・修正できます。

インシデント発生時の対応手順

初動対応の重要性

Merkleの対応で評価できるのは、検知後の迅速な封じ込め措置です。CSIRTでの経験上、初動対応の遅れが被害を拡大させる最大の要因となります。

企業が準備すべき項目：

インシデント対応計画書の作成
緊急連絡先リストの整備
外部専門家との事前契約
重要システムの隔離手順の明文化

証拠保全の重要性

フォレンジック調査では、初動対応時の証拠保全が調査の成否を分けます。システムを復旧させることも重要ですが、攻撃手法の特定や再発防止のためには適切な証拠保全が不可欠です。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

まとめ

電通グループ子会社Merkleでのサイバーインシデントは、どれほど大企業であっても完全にサイバー攻撃を防ぐことは困難であることを示しています。しかし、適切な監視体制と迅速な初動対応により、被害の拡大を最小限に抑えることは可能です。

重要なのは、インシデントから学び、自社の対策を見直すことです。個人事業主から大企業まで、規模に応じた適切なセキュリティ対策を講じることで、同様の被害を予防できます。

特に個人情報や機密情報を取り扱う企業では、今回の事例を参考に、セキュリティ体制の総点検を実施することを強く推奨します。