Nippon Steel Solutions 0-Day Network Vulnerability Exposes Users Personal Information
2025/07/08 CyberSecurityNews — Nippon Steel Solutions (NSS) が公表したのは、ネットワーク・インフラに存在していた未知の脆弱性を悪用するゼロデイ・サイバー攻撃を受け、顧客/従業員/パートナーたちの個人情報に、重大なデータ漏洩が発生したことだ。2025年3月7日の時点で検知されたインシデントは、深刻なセキュリティ侵害であり、直ちに封じ込め対策を実施した同社は、外部のサイバー・セキュリティ専門家と連携することで包括的な調査を開始した。
この侵害が発覚したのは、NSS のセキュリティ・チームが、社内サーバへの不審なアクセス・パターンを検知したときである。その後に同社は、侵害を受けたシステムをネットワークから即時に隔離し、外部のサイバー・セキュリティ専門家に対して、侵入の全容に関する調査を依頼した。
セキュリティ・インシデントの詳細
この調査の結果として明らかになったのは、これまでセキュリティ研究者やベンダが把握していなかった、ネットワーク機器に存在する脆弱性を狙うゼロデイ攻撃により、第三者による社内ネットワークへの侵入が成功したことである。
同社の声明によると、この攻撃は、パッチ未公開されていないソフトウェアの脆弱性を悪用しており、防御が極めて困難であったという。この種の攻撃は、システム・アーキテクチャに内在する未知の脆弱性を悪用するものであり、組織が直面する最も困難なサイバー・セキュリティ脅威の一つとされる。
調査の過程で確認されたのは、今回の侵害により複数のカテゴリに属する個人情報が、不正にアクセスされた可能性である。不正アクセスが想定される顧客データには、氏名/会社名/所属組織/役職/会社住所/ビジネス・メールアドレス/電話番号などが含まれる。
また、リスクにさらされたパートナー情報には、NSS 提供する企業ドメイン・アドレスを使用する、ビジネス用メールで用いられる氏名とアドレスが含まれる。また、アクセスされた可能性がある従業員データには、氏名/部署情報/役職/ビジネス用メールアドレスが含まれるという。
NSS が強調するのは、今回のセキュリティ・インシデントにより影響を受けたのは、社内ネットワーク・システムのみであり、顧客に提供するクラウド・サービスには影響がなかったことだ。
今回の侵害に対応する同社は、今後のインシデントを未然に防止するための、包括的な対策を講じている。さらに、法執行機関と連携し、規制要件に沿ったかたちで、個人情報保護委員会に必要な報告書を提出した。また、個人情報保護法の規定に基づき、影響を受けた顧客/従業員/パートナーに個別通知も開始したという。
技術的な復旧作業に含まれるのは、侵害を受けたデバイスの完全な隔離と再構築/強化された退出監視システムの導入/高度な行動検知機能の実装である。さらに、同様のインシデントを予防するために、追加の保護対策を講じ、セキュリティ体制を強化したという
現時点において、このインシデントで侵害された情報が、ソーシャルメディア・プラットフォームやダークウェブ・マーケットプレイス上で流通しているという証拠は確認されておらず、漏洩した個人情報の悪用による二次被害も報告されていない。
ただし、影響を受けた個人には、不審な通信に引き続き注意を払い、心当たりのない電話やメールに応対する際には、慎重に行動するよう呼びかけている。
今回の NSS のセキュリティ・インシデントは、未知の脆弱性へのゼロデイ攻撃により個人情報が漏洩するという深刻な事例です。文中にあるように、こうした攻撃は防御が難しく、企業にとって大きな課題となります。気になるのは、どのようなソフトウェアの脆弱性が攻撃されたのかという部分ですが、そのうち明らかにされるでしょう。
IoT OT Security News 
You must be logged in to post a comment.