FileZenはZIP暗号化メールの代替として国内中小企業・自治体・官公庁で広く使われている大容量ファイル転送ツールです。脆弱性公表とパッチ提供は1月13日に行われており、本事案は「パッチ提供から数か月放置されたシステムが踏み台になった」典型例です。自社で運用するファイル転送サーバ・グループウェア・社外公開のWebアプリケーションについて、ベンダーから提供された緊急パッチを「業務影響を理由に後回し」している状態がないかを連休中に棚卸しすべきです。社外公開サーバは攻撃者からみた最初の入口であり、パッチ適用の優先度を社内で最高位に設定する必要があります。

アルプスアルパインの事案は、VPNが「リモートワーク前提の常設の外部公開システム」となった結果、攻撃面が広がっている現実を示します。中小企業でもコロナ禍以降に導入したVPN機器・SSL-VPNを継続運用しているケースは多か、ファームウェア更新やアカウント棚卸しが追いついていない状態が珍しくありません。今回漏えいの可能性が指摘されたのは、社員番号を含むログインID・社用メールアドレス・部門名などで、これらは不正ログイン試行や標的型フィッシングに直接転用できます。委託先企業の従業員情報まで対象になっている点も重く、自社が大企業の取引先として登録した担当者情報が漏えい範囲に含まれる可能性も常に意識すべきです。

本事案は「自社のITではなく、自社が利用する業務系SaaS・パートナー企業のシステムが侵害された」サプライチェーン型のインシデントです。中小企業でも、購買管理・受発注・配送手配・経費精算などで外部のクラウドサービスや業界共通システムを利用しているケースは多く、同種のリスクは身近にあります。漏えいした情報が「氏名・会社名・電話番号・メールアドレス」という基本的な連絡先情報であっても、海運・物流業界に関わる取引先の場合、なりすましメール（請求書偽装・口座変更詐欺・運賃変更要求）の素材として極めて効果的に転用されます。日本郵船またはその関連事業者と取引のある中小企業は、5月以降の「件名に船舶名・港名・案件番号を含むメール」に通常以上の警戒が必要です。