チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「家のPCで業務メールを開いたらまずいの?」
「従業員の家族が感染していたら、うちの会社にまで被害は及ぶのでしょうか?」
チップスボス、家のPCって個人のものでしゅよね?家族がマルウェアに引っかかっても、会社には関係ないでしゅよね?
ボスそれが大間違いだな、チップス。NordVPNのインフォスティーラー約5億件の分析で、従業員家族のデバイス感染が企業侵入の起点になる実態が明らかになった。無視できる話ではない。
2026年4月21日、ITmediaがNordVPNのインフォスティーラー分析結果を報じました。
この調査は、家庭利用が中心のPCやスマホが、企業ネットワークへのサプライチェーン攻撃の起点になり得ると指摘しています。
この記事では、分析結果の要点と、人事・情シス部門が取り組むべき3つの対策を整理します。
人事・情シスの方が社員と家族を守る具体的なヒントが手に入ります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
インフォスティーラーは、ブラウザ保存のパスワードやセッションCookie、暗号資産ウォレット情報を一括で抜き取るマルウェアです。
NordVPNの分析では、2025年に収集された約5億件のログが対象となりました。
感染経路の多くは、クラック版ゲームやチートツール、非公式ランチャーといった家庭で扱われがちなソフトウェアでした。
家族で共有するPCにこれらが入り込むと、同じ端末に保存された業務関連のパスワードやセッション情報までまとめて流出します。
クラウド管理ツール関連だけで約2,700万件の漏えいが確認され、企業システムへのサプライチェーン侵害が現実味を帯びています。
| カテゴリ | 主な漏えい対象 | 件数の規模 |
|---|---|---|
| SNS・通信 | アカウント認証情報 | 約6,500万件 |
| ゲーム関連 | Steam、Twitchのセッション | 約5,300万件 |
| クラウド管理 | 管理コンソール・SaaSログイン | 約2,700万件 |
チップスお兄ちゃんが趣味で使ってるゲームツールが、会社の侵入口になるってことでしゅか……!
家庭のデバイスを会社が直接管理するのは難しくても、リスクを下げる運用は組み立てられます。
典型的なパターンは次の流れです。
非公式ソフトの導入でPCがインフォスティーラーに感染し、ブラウザ内の保存情報が抜かれます。
その中に業務クラウドのCookieや会社メールの認証情報が含まれていると、攻撃者は多要素認証を迂回して社内システムへ入り込みます。
システム管理者の家族が感染源だった場合、被害はそのまま企業ネットワーク全体に波及するリスクがあります。
NordVPNの発表は、家庭・個人側で取り組む3つの基本対策を示しています。
組織としては、これらを社員教育と福利厚生の形で後押しするのが有効です。
ボス会社の境界は「オフィスの中」で終わらない。社員の家族まで視野に入れた運用設計が、これからの当たり前になる。
家庭で起きた感染が、従業員を経由して企業被害に直結する時代になりました。
家族向けの啓発、業務クラウドの認証強化、ブラウザ管理の徹底という基本を、人事と情シスで連携して回すしくみが必要です。
社員の「家まで守る」姿勢が、結果的に会社そのものを守る最良の投資になります。
チップスまずは家族にパスキーの使い方を教えるでしゅ!
従業員と家族まで視野に入れたセキュリティ運用は、人材がいないと立ち上げが進みません。
スプラッシュエンジニアリングでは、教育設計・ガバナンス構築に携われる案件をご紹介しています。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
