日本経済新聞社は、日本を代表する新聞社の1つであり、発行している「日本経済新聞」の題名の通り経済関連の情報に強い新聞社です。日本経済新聞の他にも日経クロステックやナショナルジオグラフィック日本版といった各種メディアの運営、日経テレコンや格付投資情報センターといった投資情報の提供などを行っています。
11月4日、日本経済新聞社は、社員が使用していた私用PCがマルウェアに感染し、その私用PC中に保存されていた認証情報が悪用され、社内Slackから最大で氏名・メールアドレス・チャット履歴など1万7368人分の個人情報が流出してしまった旨を公表しました。この記事においてはその事象の概要と、これに関連した報道各社の姿勢についてお伝えします。
結論
- 日経社員の私用PCがマルウェアに感染し、認証情報が盗まれ、社内Slackから情報が流出
- Slackそのものの脆弱性等ではない
- 報道各社がこの事象を報じた際のタイトルがSNS上で話題に
事象
日本経済新聞社のプレスリリース「業務用チャット「スラック」への不正ログインと情報流出について」によると、日経社員保有のパソコンにマルウェアが感染し、そこから日経社内で使用しているSlackの認証情報が流出してしまったとのことです。また、この認証情報を用いられ、外部から日経社内で使用しているSlackに対して不正なログインが行われたことが確認されたとのことです。
遅くとも2025年9月に日本経済新聞社はこの事態を把握し、パスワードの変更等の対策を行ったとのことです。この社内Slack上には少なくとも1万7368人分の個人情報(氏名・メールアドレス)が存在したと思われ、これらやチャット履歴が流出した可能性があるとしています。また、個人情報が含まれていたこともあり、(本来は必要ないものの)個人情報保護委員会に対して報告を行ったとのことです。
プレスリリースによれば、本件に対する問い合わせはお問い合わせフォームから、取材に関しては日本経済新聞社広報室へお願いしたいとのことです。
事象の解釈
このプレスリリースのみでは詳しい内容を把握することが困難ですので、筆者による想定を加えた「解釈」を行います。当然ながら少ない情報をつなぎ合わせたものとなりますので、誤っている内容があると思われますがご容赦ください。
マルウェアの感染
始めに、日経社員が使用していた私用PCにマルウェアが感染したとのことです。ここにおいて感染ルートは多種多様であり、現状ある情報では特定は不可能です。ただし日経社員が使用していたPCにおいて、そのマルウェアが検知されることなく、Slackの認証情報が漏洩したということは確かなことであると考えられます。
このような情報を窃取するタイプのマルウェアのことは「Infostealer」と呼ばれています。今回盗まれた認証情報に限らず、暗号資産のウォレット情報やPC内のファイル等も盗まれる対象となります。今回日経社員が使用していたPCに感染したマルウェアはこのようなタイプであることは明らかでしょう。
Slackの認証
SlackはSalesforceを親会社に持つ「Slack Technologies」によって、開発・運用されているチームコミュニケーションツールです。チャットを中心としつつビジネスに役立つ様々な関連機能が搭載されています。
この認証手法には複数存在しており、大まかに以下の手法に分かれます。
- メールアドレスを入力し、そのメールアドレスに対して6桁の認証コードを送信する
- メールアドレスとパスワードの組み合わせを用いてログイン
- Appleアカウント・Googleアカウントを用いてログイン
- 組織が提供しているSSOアカウントを用いてログイン
また、これらに加えて携帯電話(SMS)もしくはGoogle Authenticator等を用いた2要素認証を組み合わせることが可能です。今回漏洩した認証情報が何を指すのかは不明ですが、(ユーザーの認証情報と仮定した場合)少なくともSlackの2要素認証はかけられていなかった可能性が高いと言えます。また、Cookie等に保存されている認証情報が漏洩したとすると、これらのユーザー認証をバイパスした可能性もあり、この場合においては(外部からのアクセスがあったことから)アクセスしているデバイスの挙動を適切に観察していなかった(CASB等が十分に活用されていなかった)可能性を示しています。
他にもSlackのbot等の認証に使用されるトークンが漏洩した可能性も考えられます。開発者等が.envファイル等に記載したトークンが流出してしまい、その無効化(revoke)が行われていない場合において、攻撃者がそのトークンを用いて情報の取得・削除等がそのトークンの権限内で行うことが可能となってしまいます。特に過去のSlackにおいては不必要に多くの権限を持ったトークン(レガシートークン)が発行されていたこともあり、危険性がより増していると言えます。
いずれにしてもSlackが正規で用意しているもので、Slackそのものの欠陥ではないと考えられます。そのため、Slackそのものが危険とは即座に言えないことに留意する必要があります。
Slack内の情報
Slack内に保存されていて流出した情報として、日本経済新聞社はSlackユーザーの氏名とメールアドレスを主に挙げており、これらが約1万7000人に及ぶことが明らかとなっています。もちろんこうした個人情報の流出も重要ではあるのですが、報道機関として重要なものとしてチャット履歴の流出というのも考えられます。
チャット履歴には報道機関として機微な内容が含まれる可能性が大いにあり、これらが悪用されかねないといった問題があります。Slackはあくまで「業務の一部で利用している」としており、全社的に使用していない可能性はありますが、それでもチャット履歴には事業の遂行に必要な情報が多数含まれており、機微な内容が含まれる可能性は極めて高いと言えます。
報道各社のタイトル
この事象は先述の通り日本経済新聞社がプレスリリースを出しており、報道各社がこれを基に記事を出しています。例えば日本経済新聞自身は「本社に不正ログイン、個人情報流出か 外部から「Slack」に」といった形で報道を行っています。しかしSNS上においてはこのタイトルに対して、「Slackが危険であると誤認させかねない」という声が上がっています。
日経新聞、自分らがセキュリティーミスって情報流出しただけなのに、この見出し書けるのすごいな?
— 偽物のてんぷら (@ebihulai) November 4, 2025
Slackの本社に不正ログインされたかのような芸術的なミスリード。
さすが言葉で食ってる人は違う
日経本社って書けよ…なんならSlackの名を出す必要もないんだよな。社内チャットツールでいい pic.twitter.com/tCNNSBTl2b
これを基に報道各社のタイトルを比べるため、表を作成しました。
| 媒体名 | タイトル |
|---|---|
| 日本経済新聞 | 本社に不正ログイン、個人情報流出か 外部から「Slack」に |
| INTERNET Watch | 日本経済新聞社で利用のSlackに不正ログイン、情報流出の疑い |
| ITmedia | 日本経済新聞社、社内チャット「Slack」に不正ログイン 社員の個人PCのウイルス感染が原因 |
| CNET Japan | 日本経済新聞社、Slackに不正ログイン 約1.7万人分の情報流出の可能性 |
| 朝日新聞 | 日経新聞のSlackに不正ログイン、約1万7千人分の情報流出か |
| 時事通信 | 「スラック」に不正アクセス 約1万7400人分流出か―日経新聞 |
| 毎日新聞 | 日経新聞、PCの「Slack」に不正アクセス 1万7000人分の情報流出か |
| 共同通信 | 日経新聞、1.7万人情報流出か 対話アプリに不正アクセス |
技術系のメディアであるINTERNET WatchやITmediaは不正ログインを強調しているタイトルになっているのに対し、他社は個人情報の流出を重きにおいていることが分かります。また特に下2つに関しては「PCの「Slack」」や「対話アプリ」といった珍しい表現が目立ちます。
プレスリリースをソースとしていることもあり、報道内容はほとんど変わらないことからタイトルは各社が重視していることの表れといえるでしょう。ここでは評価は控えますが、この記事をお読みの方の比較材料になればと思います。
関連リンク
- 業務用チャット「スラック」への不正ログインと情報流出について - 日本経済新聞社
最後に
末端のデバイスにマルウェアが感染してしまい、これを起点として情報が流出してしまうといったインシデントは「よくある」事象です。企業がデバイスの購入・維持・更新コストの削減が可能で、社員にとっても余計なデバイスを安全に保持する必要が無いBYOD方式は、こうした攻撃に対して脆弱になりやすいのは仕方のないことです。しかしながらそもそもマルウェアに感染しないような対策・そして感染してしまった際の対策というのは「よくある」事象であるからこそ、その手法は十分に成熟していると言えます。
日経新聞は今回の流出事件を起こしたことによって、十分に成熟した手法(検知・サンドボックス化・ネットワークからの隔離・多要素認証の導入など)を十分に活用できていなかった可能性を示しています。そしてこれらの対策を行っていたか・どういったところで問題があったかということに対して十分に言及しないことによって、 日経新聞の読者が「Slackは危険である」と誤った認識を持ってしまう可能性を過小評価しているのではないか と思われても仕方がないと思っています。
もちろん、攻撃された詳細は非公開にするのが通常ですが、自らが十分に安全策を取ってこなかったである可能性を棚に上げつつ、Slackそのものが危険であるかのように取られかねないタイトルの記事を出すということが、健全なマスメディアとは思えません。もちろんこうした情報を平易に伝達することはとても難しいことです。そして攻撃者が一番悪いということは言うまでもないですが、であるからといってこのタイトルが問題ないということにはなりません。
現状攻撃の実態が不明ですので、不要な推察と攻撃を控えるべきではあるのですが、こうした感情というのはどうしても持ってしまいます。私のタイトルである「日経新聞社員の私用PCがマルウェアに感染し、盗まれた認証情報を悪用され日経社内Slackから情報が流出」が良いタイトルであるかどうかは分かりませんが、情報の本質を捉えたものであることを祈っています。
