NTTコミュニケーションズは2025年3月5日、同社の社内システムがサイバー攻撃を受け、法人顧客約1.8万社の情報が外部に流出した可能性があることを発表した。複数のメディアが報じた。

同社によると、2月5日に社内システムの内部装置で不審なログを検知した。翌6日の調査で、法人向けサービスの一部情報が外部に流出した可能性が判明した。さらに2月15日には、社内ネットワーク上の別の装置も侵害されていたことが分かり、即座に接続を遮断したという。

流出の可能性がある情報は、法人顧客1万7891社分の契約者名、契約番号、担当者名、住所、電話番号、メールアドレス、およびサービスの利用に関する情報となっている。NTTドコモが提供する法人名義の携帯電話契約に関する情報は影響を受けていないとのことだ。

NTTコミュニケーションズは、現時点で情報の悪用は確認されていないとしている。同社は影響を受ける可能性のある顧客に対し、営業担当者を通じて、または郵送で個別に連絡するとしており、電子メールでの連絡は行わないと明言している。

再発防止策として、同社はシステム全体の通信経路の見直し、ネットワーク監視の強化、不正アクセス防止策の強化、セキュリティ体制の見直しと社員教育の徹底などを実施すると発表している。

今回の事態を受け、NTTコミュニケーションズは「再発防止のためのセキュリティ対策、監視体制のさらなる強化を進め、より一層のサービス品質の向上を図ってまいります」とコメントしている。

こうしたサイバー攻撃などによる情報漏洩はとどまるところを知らず、攻撃手法も日々高度化、多様化しているため、防御が事後対応になりがちだ。

情報漏洩後にデータを持つ企業が「悪用された事実はない」と発表することはよくあるが、企業情報が外部に流出した時点で、その情報を取得した者はいつでも潜在的に悪用可能な状態にあることを忘れてはいけないだろう。