kuniの経済徒然日記

ネットワンシステムズは1/21、30日に予定していた2019年4～12月期決算の発表を2月13日に延期すると発表しました。「特別調査委員会の調査結果受領までにいましばらくの時間を要する見込みであるため」と説明されています。

ネットワンなど、、、

このタイトル、昨日の日経の記事のタイトルそのまんまです。ネットワンなど、という表現が目を引きました。たしかに21日にネットワンシステムズは延期を発表しているんですが、日鉄ソリューションズについても並べて伝えていて、そのため「など」と書いたわけですね。

しかし、一方の日鉄ソリューションズは延期の公表をしたわけではありません。自社のホームページ、IRカレンダーのコーナーで2月4日決算発表予定と表示しただけです（いつ表示したのかは確認できず）。にもかかわらず、「など」としたあたり、やはり日経も両社に関連ありとみてるんでしょうか。

ちなみに、日鉄ソリューションズの前年度の第3四半期決算短信の日付は2月1日。もう一年度前は1月30日となっているので、たしかに少し延期した感はありますが。

やっぱり3社で循環取引

とまぁ、ここまで書いたところへニュースが。ネットワンシステムズ→東芝ITサービス→日鉄ソリューションズ、という循環取引があったことが確認されたようです。22日11：13の日経デジタルのニュースです。複数の関係者が明らかにしたとのこと。やれやれ、やっぱりですかぁ。

こうなると、いまさらですが、東芝も誠意のあるお詫びと、第三者委員会の設置が必要ですね。いかにも、「子会社の子会社のことだし、東芝本体の知ったことじゃない。。。」みたいな姿勢が透けて見えるあのプレスリリースだけではいかんでしょうし、グループの膿を出し切るためには第三者による調査を徹底しないと。これが最後のチャンスじゃないでしょうか。

1/20　三菱電機は同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを公表しました。最も心配された、防衛や電力、鉄道などの社会インフラに関する機微な情報等は流出していないことを確認済みであることも、併せて報告されています。

朝日新聞のスクープ

だったと思うんですね。20日の朝の時点で朝日新聞デジタルで流れてたのを読んだのが最初だったと思います。昨年12月に新入社員の自殺というニュースがあったところでしたし、「またかよ」って感じで読みました。内部からのリークだったんでしょうかね。

そしてその後の報道、すべてに目を通しているわけではありませんが、概ね同社の対応を一定程度評価しているような伝え方になってるようです。不正アクセスを検知したのが昨年6月28日。その後行政等の関係各機関とは連絡を取りながら対処してきたようで、最もリスクの高い防衛・電力・鉄道等のインフラに関する情報の流出は回避したようです。

ゼロデイ攻撃

プレスリリースによると、「原因」の欄には、「当社が利用するウィルス対策システムのセキュリティパッチ公開前の脆弱性を突いた第三者の不正アクセスが原因です。」とあります。システムに脆弱性が発見され、修正プログラムが提供される日より前に、その脆弱性を攻撃される、いわゆるゼロデイ攻撃を受けたというわけです。

修正プログラム（セキュリティパッチ）が出来上がる前に攻撃されたわけですから、同社の責任を問うわけにもいきません。これについては世間もやむを得ないと感じたでしょう。むしろ、三菱電機以外の企業もすでに攻撃されているのではと思わされました。

そして、流出した情報も、三菱電機の採用応募者、従業員、関係会社の退職者に係る個人情報です。同社の技術資料や営業資料も流出しているようですが、報告を見る限り、情報の重要性に応じたアクセス管理ができていたことを感じさせます。三菱電機の今回のプレスリリース、非常に良くできています。あくまで、ここまでの公表内容が真実であれば、、、ということですが。