株式会社ワサビは3月30日、同社アカウントへの不正アクセスについて発表した。
これは3月16日に、同社が提供するワサビスイッチのカスタマーサポート窓口(Chatwork)にて、同社管理スタッフのアカウントに第三者からの不正アクセスがあったというもの。
同社では不正アクセスの検知後に下記の応急処置を完了しており、現在は安全が確保されている。
・当該アカウントの即時凍結およびアクセス遮断
・共有ファイル(スプレッドシート等)の全リンク削除と権限の無効化
・該当ファイル内に含まれる情報の完全破棄
同社では、「お客様への切実なお願い」として、ワサビスイッチおよび関連サービスで同社スタッフと共有していたパスワードや、他サービスと併用しているパスワードを使用している場合は、速やかにパスワードの変更を行うよう依頼するとともに「弊社の不手際により、お客様に貴重なお時間を割いていただくこととなり、重ねて深くお詫び申し上げます。」と謝罪している。
同社では再発防止策として、セキュリティ強化計画を大幅に前倒し、下記の通り業界内でも極めて厳格な基準に基づく新体制へ移行するとのこと。
・社内ガバナンスの徹底強化
認証の物理的義務化:全サービスでの二段階認証(2FA)に加え、PC・ブラウザの生体認証(指紋・顔認証等)を必須化し、物理的に本人以外がアクセスできない環境を構築。
パスワードマネジメントの刷新:「1Password」等の高度な管理ソフトを導入し、スプレッドシートやチャット上でのID・パスワード共有をシステム的に禁止。
権限の最小化:共有ファイルおよびフォルダの閲覧権限を「最小限のスタッフ・最短の期間」に限定する厳格な運用へ移行。
・ワサビスイッチ システム自体の強化(最高優先度で開発中)
ログイン認証の多層化:システムログイン時の二段階認証を必須化。
暗号化技術の高度化:データベース内のパスワード暗号化アルゴリズムをさらに強化。
提供プロセスの厳格化:デモ環境の提供を完全承認制とし、外部委託先への権限設定もさらに絞り込む。
