事件概要──EXIDEA社のChatworkアカウントが乗っ取られた
2026年4月3日、コンテンツマーケティング企業のEXIDEA社が、同社のChatworkアカウントに対する不正アクセスを公表した。攻撃者は同社の正規アカウントを乗っ取り、取引先や顧客とのチャットルームにアクセスした。
EXIDEA社の発表によれば、不正アクセスの発覚は4月3日。社員が普段と異なるログイン通知に気づいたことが発端だ。調査の結果、少なくとも数日間にわたり攻撃者がチャット内容を閲覧できる状態にあったとされている。
| 項目 | 内容 |
|---|---|
| 被害企業 | EXIDEA株式会社 |
| 被害サービス | Chatwork(ビジネスチャット) |
| 発覚日 | 2026年4月3日 |
| 不正アクセスの内容 | アカウント乗っ取り、チャット内容の閲覧 |
| 影響範囲 | 取引先・顧客とのチャットルーム内の情報 |
| 推定原因 | パスワードの使い回し、またはフィッシングによる認証情報窃取(調査中) |
ビジネスチャットが狙われる理由──「機密情報の宝庫」
ビジネスチャットは、メールに代わるコミュニケーション基盤として中小企業にも広く普及している。しかし、その利便性の裏には大きなリスクが潜む。
理由1:非構造化データの集積地
ビジネスチャットには、見積書、契約書のドラフト、パスワードの口頭共有、社内の人事情報、顧客の個人情報など、あらゆる機密情報が無秩序に蓄積されている。メールと異なりチャットは「雑談的に」使われるため、本来厳重管理すべき情報がカジュアルに共有される傾向がある。
理由2:1アカウントで全チャットルームにアクセス可能
1つのアカウントが乗っ取られると、そのアカウントが参加している全てのチャットルームの過去ログにアクセスできる。組織の管理者アカウントであれば、全社のチャット内容が閲覧可能になるケースもある。
理由3:MFA未設定率の高さ
IPAの調査では、中小企業のビジネスチャット利用者のうちMFA(多要素認証)を設定しているのは約30%に留まる。「社内ツールだから大丈夫」という油断が、攻撃者の侵入を許している。
Chatwork・Slack・Teams別セキュリティ設定チェックリスト
以下のチェックリストで、自社のビジネスチャットのセキュリティ状態を確認してほしい。
Chatwork
| チェック項目 | 設定場所 | 推奨設定 |
|---|---|---|
| 二段階認証(MFA)の有効化 | 個人設定 → セキュリティ | 全ユーザーに必須化 |
| パスワードポリシーの設定 | 管理者設定 → セキュリティ | 12文字以上、英数字記号混在 |
| IPアドレス制限 | ビジネスプラン以上 → 管理者設定 | 社内IP・VPN IPのみ許可 |
| API トークンの管理 | 個人設定 → API | 不要なトークンは削除、定期的にローテーション |
| ログイン履歴の確認 | 個人設定 → ログイン履歴 | 月1回は確認し、不審なアクセスがないか確認 |
Slack
| チェック項目 | 設定場所 | 推奨設定 |
|---|---|---|
| 二要素認証(2FA)の必須化 | ワークスペース設定 → 認証 | 全メンバーに必須化 |
| セッション期間の設定 | Enterprise Grid → セッション管理 | 最大24時間に制限 |
| 外部共有チャンネルの管理 | 管理者設定 → チャンネル管理 | 承認制にし、定期的に棚卸し |
| アプリ・ボットの管理 | 管理者設定 → アプリ管理 | 承認制にし、未使用アプリを削除 |
| ファイルダウンロード制限 | Enterprise Grid → DLP | 機密チャンネルではダウンロード禁止 |
Microsoft Teams
| チェック項目 | 設定場所 | 推奨設定 |
|---|---|---|
| MFAの必須化 | Microsoft Entra ID → 条件付きアクセス | 全ユーザーに必須化 |
| ゲストアクセスの制限 | Teams管理センター → ゲストアクセス | 必要最小限に制限、定期的に棚卸し |
| 外部アクセスの制限 | Teams管理センター → 外部アクセス | 許可ドメインのみに制限 |
| 情報バリアの設定 | Microsoft Purview | 部門間の情報流通を必要に応じて制限 |
| 監査ログの有効化 | Microsoft Purview → 監査 | Teams関連イベントのログを有効化 |
MFA設定手順──Chatworkの場合
Chatworkの二段階認証は、以下の手順で全社員に展開する。
管理者の準備
- Chatwork管理画面にログインする
- 「組織の管理」→「セキュリティ」を開く
- 「二段階認証を必須にする」を有効にする
- 適用日を設定し(1〜2週間後を推奨)、全社にアナウンスする
各ユーザーの設定
- Chatworkにログインし、右上のアイコン → 「設定」を開く
- 「セキュリティ」タブを選択する
- 「二段階認証を設定する」をクリックする
- 認証アプリ(Google Authenticator、Microsoft Authenticator等)でQRコードを読み取る
- 表示された6桁のコードを入力して設定完了
注意点: バックアップコードは必ず安全な場所に保管する。スマートフォンを紛失した場合、バックアップコードがなければアカウントにアクセスできなくなる。
不審ログインの検知方法
アカウント乗っ取りを早期に発見するために、以下の兆候を定期的に確認する。
| 検知ポイント | 確認すべき内容 | ツール |
|---|---|---|
| 異常なログイン時刻 | 深夜・休日のログインがないか | ログイン履歴、監査ログ |
| 異常なログイン場所 | 海外IPからのアクセスがないか | ログイン履歴、SIEM |
| 複数端末からの同時ログイン | 同一アカウントが複数拠点から同時に使用されていないか | セッション管理 |
| 大量のファイルダウンロード | 通常と異なる量のファイル取得がないか | 監査ログ、DLP |
| 設定変更の通知 | パスワード変更、MFA無効化等の通知がないか | メール通知設定 |
よくある質問(FAQ)
Q. パスワードを定期的に変更すれば安全ですか?
パスワードの定期変更は、NISTのガイドラインでは推奨されていない。定期変更を強制すると、ユーザーは「Password2026!」のような予測しやすいパターンを使いがちになる。それよりも、長く複雑なパスワード+MFAの組み合わせのほうが効果的だ。ただし、漏洩が疑われる場合は即座に変更すること。
Q. 無料プランのChatworkでもMFAは設定できますか?
設定できる。Chatworkの二段階認証はフリープランでも個人単位で設定可能だ。ただし、管理者が全社に強制するには「ビジネスプラン」以上が必要になる。
Q. ビジネスチャットにパスワードを共有するのは問題ですか?
セキュリティ上、極めて問題がある。チャットでパスワードを共有すると、ログとして残り続け、アカウント乗っ取り時に一括で漏洩する。パスワード共有には1Password、Bitwarden等のパスワードマネージャーを使用すべきだ。
Q. 退職者のアカウントはどうすべきですか?
退職日当日に即座に無効化する。退職後もアカウントが有効なままだと、退職者本人または認証情報を入手した第三者がチャット内容にアクセスできてしまう。退職者処理のチェックリストにビジネスチャットのアカウント無効化を必ず含めること。
まとめ──ビジネスチャットは「守るべき資産」だ
EXIDEA社の事件は、ビジネスチャットが攻撃者にとって高価値な標的であることを示している。メールと同等以上のセキュリティ対策が必要だ。
今すぐ実行すべきアクションは以下の3つ。
- 今日:自社のビジネスチャットのMFA設定状況を確認し、未設定のアカウントを特定する
- 1週間以内:全社員にMFAを有効化させる(管理者による強制設定を推奨)
- 1か月以内:ログイン履歴の定期確認ルールを策定し、運用を開始する
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
EXIDEA社Chatwork不正アクセス事件|ビジネスチャットのアカウント乗っ取りを防ぐ対策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- インシデント対応フローテンプレート -- 不正アクセス発覚時の初動対応を迅速に行うための手順書
- 中小企業のセキュリティ予算計画ガイド -- MFA導入やSIEM導入のコスト感と予算確保の方法
- GXO導入事例 -- ビジネスチャットのセキュリティ強化の実績事例
ビジネスチャットのセキュリティ、見直しませんか?
GXOでは、Chatwork・Slack・Teamsのセキュリティ設定を無料で診断するサービスを提供しています。MFAの設定状況、ログイン履歴の確認、退職者アカウントの棚卸しまで、チャットツールの安全な運用を支援します。
※ オンライン完結OK | 営業電話はしません | 相談だけでもOK