2024年2月9日、警視庁サイバー犯罪対策課などは法人向け名刺管理サービスを利用する企業のアカウントに不正アクセスを行い名刺情報の閲覧を行っていたとして、不動産販売会社の男を逮捕したと公表しました。男らは不動産投資の勧誘に入手した名刺情報を使用していたとみられています。ここでは関連する情報をまとめます。
2年前から名刺管理サービスに不正アクセスか
- 男の逮捕容疑は不正アクセス禁止法違反。男は会社の部下と共謀し、2022年11月からSansanの社員に偽装し、都内の空調設備会社の社員に対してメールを送信。名刺管理サービスのログインに必要となる認証情報を取得し、さらに2023年2月に名刺管理サービスに接続を行った疑い。
- その後男は再び不正アクセス禁止法違反の容疑で逮捕されており、2023年2月から3月にかけて、Sansanの従業員になりすまして北海道、愛知県など4社にフィッシングメールを送りパスワードを取得し、その認証情報を使用して不正ログインを行った疑い。さらに別の男も2023年1月に東京都の組織が利用していたアカウントに不正ログインした容疑で逮捕された。*1
- 捜査を行ったのは警視庁サイバー犯罪対策課と渋谷署、愛知県警サイバー犯罪対策課と中署。事案名は「名刺管理サービス運営会社等になりすまし他社の名刺情報等を取得した不正アクセス禁止法違反事件」。*2 男は取り調べに対して「部下が名刺管理サービスの情報を持っていることは知っていたが、自分は指示を行っていない」として容疑を否認している。
- 男は住宅関連会社や設備施工会社を標的にしており、2021年夏以降大手上場企業を含む十数社の名刺管理サービスの認証情報を入手し不正アクセスを行っていたとみられ、約400万件の名刺情報を閲覧することが可能な状態だった。捜査を通じて男が約2,000回にわたり名刺情報の閲覧行為を行っていたことが明らかになっている。*3 警視庁によれば、2023年4月に不正アクセス被害を公表していた朝日工業社*4も被害企業に含まれていた。*5 男は不動産販売会社の幹部社員(次長)で、会社ぐるみで違法行為が行われていた可能性があるとして警視庁は捜査を進めている。*6
- 判明しているだけで男は15万件の名刺情報を入手しており、この名刺情報を使用して不動産投資の営業活動を行っていた。*7 実際にこの情報から契約にまで至った事例もあった。*8
- 名刺管理サービスの提供元であるSansanは今回の逮捕報道を受けプレスリリースを行っている。*9 同社からの情報流出は否定するとともに、捜査協力を行っていたことや、利用企業に対する注意喚起、二段階認証の提供など対策実施を進めているとした。
セキュリティ強化目的と連絡し認証情報窃取
- 認証情報の窃取は電話やメールで行われており、男は部下3人にフィッシングメールを送信させていた。自身が勤務する不動産販売会社の営業で知り合いとなった取引先や、名刺管理サービスを利用している企業の社員を狙っていたとみられている。*10
- メールは2段階認証の設定やサービス利用継続に必要な手続きなどに偽装した内容で、設定のためにIDとパスワードを返信してほしいとSansanの社員になりすまして標的企業の社員へ連絡を行うもの。*11 Sansanは「ログイン情報の管理に関する注意喚起」として、利用企業に注意を呼び掛けていた。*12
- 当該不正アクセスの事案との関連はこれまでのところ報じられていないが、2023年3月に川崎設備工業が公表した事案は同様の手口であった。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2021年夏以降 | 男と部下が共謀し名刺管理システムのログイン情報を入手。 |
| 2022年11月 | 男と部下が共謀し、都内の空調設備会社に対してフィッシングメールを送信。 |
| 2023年2月 | 男が名刺管理サービスに不正アクセス。 |
| 2023年3月 | 名刺管理サービス利用企業よりSansanに対してフィッシング被害について連絡。Sansanが事態を把握。 |
| 2023年3月 | Sansanと被害企業が警視庁と愛知県警へ被害相談。 |
| 2023年4月26日 | 朝日工業社が名刺管理サービスで利用するアカウントが不正アクセスを受け、名刺情報が閲覧された可能性と公表。 |
| 2023年9月21日 | Sansanが認証情報を狙うフィッシングについて注意喚起。 |
| 2024年2月8日 | 警視庁が名刺管理サービスへの不正アクセスを行っていたとして、男を逮捕。 |
| 2024年2月9日 | 警視庁が不正アクセス禁止法違反の容疑で男を逮捕したと公表。 |
| 2024年2月28日 | 東京地検が男を起訴。 |
| 2024年2月29日 | 警視庁が不正アクセス禁止法違反の容疑で男を再逮捕。さらに別の男も逮捕。 |
更新履歴
- 2024年2月10日 AM 新規作成
- 2024年3月6日 PM 続報反映
*1:名刺情報閲覧か、男再逮捕 不正アクセス疑いで警視庁,日本経済新聞,2024年2月29日
*2:名刺情報に不正アクセスか なりすましメールで400万件閲覧,テレビ朝日,2024年2月9日
*3:名刺管理クラウドに不正接続、名刺情報2000回閲覧か…不動産会社員の容疑者逮捕,読売新聞,2024年2月9日
*4:[PDF] 名刺管理サービスへの不正アクセスに関連するお詫びとご報告,朝日工業社,2023年4月26日
*5:Sansanの名刺情報、15万件盗み見た疑い 不動産営業に利用か,朝日新聞,2024年2月9日
*6:「Sansan」社員装い、名刺情報入手=容疑で不動産会社次長逮捕―警視庁,時事通信,2024年2月9日
*7:名刺管理サービス「Sansan」従業員装い“名刺情報15万枚分”不正入手か 不動産販売会社の男逮捕、販売営業に利用 警視庁,TBS,2024年2月9日
*8:名刺管理システム不正アクセスし閲覧 容疑の不動産販売会社員の男逮捕 営業に利用目的か,産経新聞,2024年2月9日
*10:名刺管理サービスに不正アクセス疑い 会社員逮捕 投資勧誘に悪用か,毎日新聞,2024年2月9日
*11:名刺管理サービスから情報不正入手か 不動産販売会社社員逮捕,NHK,2024年2月9日
*12:ログイン情報の管理に関する注意喚起,Sansan,2023年9月21日
