株式会社セガ フェイブ およびフェニックスリゾートにおけるMicrosoft 365アカウント不正アクセス被害

株式会社セガ フェイブ Toysカンパニーにおける不正アクセス事件とその対応

4月23日、株式会社セガ フェイブ Toysカンパニー（以下、セガ フェイブ）は、同社が使用しているMicrosoft 365アカウントが外部からの不正アクセスを受けたことを明らかにしました。この不正アクセスにより、このメールアカウントに含まれていた取引先の顧客情報や従業員情報を含む個人情報、お客様情報が漏洩した可能性があると報告されています。

不正アクセスの詳細

2024年4月4日にMicrosoft 365を管理しているセガサミーホールディングス株式会社が、セガ フェイブのMicrosoft 365アカウントへの不正アクセスを検知しました。調査の結果、不正アクセスされたアカウントにはアカウントを保有する従業員が過去に従事していたグループ会社グループ会社であるフェニックスリゾートのお客様情報やグループ会社従業員の個人情報が含まれていることが判明し、これが外部に漏れた可能性があるとされています。

漏洩した可能性のある情報

- 約1,900件の取引先情報（氏名、会社所在地、メールアドレス、電話番号、口座情報等）

- 約300件の従業員およびその家族の情報（氏名、住所、電話番号、メールアドレス等）

- フェニックスリゾートの顧客情報（約1,400件の宿泊客およびゴルフ施設利用者の情報）

- フェニックスリゾートの取引先および従業員情報

セガ フェイブは、この問題に迅速に対応し、全アカウントのセキュリティ対策を強化し、不正アクセスの再発防止を行うと述べています。

セキュリティ対策としての多要素認証とレガシーアクセスの禁止

Microsoft 365アカウントに対しての不正アクセスはたびたび発生しており、そのセキュリティ対策として、多要素認証（MFA）の導入が推奨されます。さらに、POP3やIMAPなどのレガシーアクセスの禁止も有効です。