イラン系とされる集団が要人の「個人メールに侵入した」と主張する事案は、真偽の確定前から組織に負荷を与えます。漏えいが事実でなくても「侵入されたかもしれない」という疑念が信用低下を招きます。さらに検証・広報・法務対応のコストを組織側に押し付け、便乗フィッシングやなりすましを誘発します。
情シスとしては、技術的な侵入対策だけでなく、拡散局面での初動設計までを同じ脅威シナリオとして扱うことが重要です。公開情報の一部切り取りや改ざん混入も想定し、ファクトチェックと発信計画を準備しておく必要があります。
個人メールは企業管理下のID基盤より統制が弱く、攻撃者にとって現実的な入口になります。フィッシングでの資格情報・トークン窃取、MFA疲労攻撃やセッション奪取、リカバリ手段(SMS・予備メール)の乗っ取りが典型です。端末侵害で同期データを抜かれると、調査の痕跡も分散しがちです。
経営層や広報・渉外が私用アカウントで業務連絡をしている場合、侵害は個人に留まりません。取引先・記者・委託先など周辺関係者を踏み台にした横展開も起こり得ます。まずは「業務が個人領域に出ていないか」を棚卸しすることが出発点です。
最優先はフィッシング耐性の高い認証への移行です。可能な範囲でFIDO2/パスキー等を要職・高権限ユーザーから適用し、SMS中心のMFAに依存しない設計へ寄せます。同時に、外部転送ルール、委任アクセス、OAuth連携アプリ、復旧コード保管など「乗っ取り後に悪用される設定」を定期監査します。
端末面では、要人端末のMDMによる設定固定、EDRでの監視、OS/ブラウザ/メールクライアントの迅速な更新を徹底します。BYODを認める場合は業務領域の分離(コンテナ化等)を条件化し、調査可能性とログ取得を確保します。メールだけを守る発想ではなく、ID・端末・クラウド設定を一体で管理します。
「侵入された可能性」や「リーク予告」が出た時点で、SOC/CSIRTだけでは収束しません。真正性確認(改ざん・捏造含む)、公開範囲推定、関係者への注意喚起、二次フィッシング対策までを時系列で動かす必要があります。広報・法務・人事・経営と連携したプレイブックを事前に作り、意思決定の窓口と承認フローを明確にします。
侵入の真偽が未確定でも、対策を前倒しする方が合理的です。特に高権限IDの保護、回復手段の棚卸し、転送や連携アプリの監査、端末統制の強化は即効性があります。情報戦を前提に「疑念の拡散」まで含めて備えることが、企業の信用と事業継続を守る要点です。
