チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「クラウドサービスのパスワード、使い回しはしてないけど管理できてるか不安……」
「業務用のクラウドストレージって、外から不正ログインされることがあるんでしゅか?」
チップスボス、ホソカワミクロンって会社でクラウドストレージに不正ログインされたって聞いたんでしゅ!どんな攻撃だったんでしゅか?
ボス漏洩または推測されたID・パスワードを使った不正ログインだ。クラウドサービスへの認証情報攻撃は今最も多い侵害パターンのひとつで、業種・規模を問わず発生している。
2026年3月27日、ホソカワミクロン株式会社(東証プライム)は、補助的に使用していたクラウドストレージサービスへの不正ログインの可能性を公表しました。
クラウドへの不正アクセスは「大企業の話」ではなく、認証情報が一度でも漏洩すれば、どの規模の企業でも発生しうる現実的なリスクです。
この記事では、事案の経緯と、クラウドサービス利用企業が取るべき認証情報管理の対策を解説します。
この事案が示す教訓は、日本のあらゆる企業に共通する認証情報管理のリスクです。
ホソカワミクロンは、業務補助用に使用していたクラウドストレージサービスのひとつのアカウントが、不正にログオンされた可能性があることを公表しました。
今回の不正アクセスで流出した可能性があるとされる情報は、以下の3区分です(ホソカワミクロン公表)。
| 対象 | 件数 | 含まれる情報 |
|---|---|---|
| 顧客・取引先関係者 | 257件 | 氏名、住所、メールアドレス、電話番号など |
| 従業員(退職者含む) | 1,470件 | 氏名、生年月日、メールアドレスなど |
| 従業員の家族 | 1件 | マイナンバー含む |
マイナンバーが含まれるケースもあり、二次被害のリスクは単純な情報漏洩にとどまりません。
現時点では不正利用などの二次被害は確認されていませんが、被害者への通知と調査が継続されています。
補助的なクラウドサービスでも、個人情報を保存していれば管理責任が発生します。
今回の侵害の起点は「漏洩または推測されたID・パスワード」という認証情報でした。
チップスID・パスワードが漏洩するって、どこから漏れるんでしゅか?うちの会社でも同じことが起きないか心配でしゅ。
ボス他のサービスの過去の漏洩データ、ダークウェブで流通している認証情報リスト、それを使い回しているアカウントを機械的に試す「クレデンシャルスタッフィング」という手口がある。パスワードの使い回しが一番の命取りだ。
攻撃者は過去の情報漏洩で流出したID・パスワードのリストを使い、複数のサービスに自動ログインを試みます。
同じパスワードを複数サービスで使い回していると、ひとつの漏洩が連鎖的に広がります。
今回のように「補助的なクラウドサービス」は見落とされがちで、管理が手薄になりやすい盲点です。
クラウドサービス利用企業が今すぐ確認すべき対策です。
「補助的に使っているクラウドサービス」こそ管理が疎かになりがちです。
担当者が把握していないアカウントの存在が、今回のような侵害の入口になります。
ホソカワミクロンの事案は、業務補助用であっても個人情報を保存するクラウドサービスには厳格な認証管理が必要であることを示しています。
多要素認証の導入と全クラウドアカウントの棚卸しは、今すぐ実施できる最も効果的な対策です。
クレデンシャルスタッフィング攻撃は自動化されており、脆弱なアカウントは24時間狙われています。
パスワードの使い回しをなくし、MFAを導入することが、被害を防ぐための第一歩です。
ボス「補助的なサービスだから」という油断が一番危ない。使っているすべてのクラウドサービスを把握して、MFAをかけることが最低限だ。
チップスわかったでしゅ!早速うちの会社でも全クラウドサービスの棚卸しをやってみますでしゅ!パスワードの使い回しも今すぐ確認しますっす!
