組織の内部にいる従業員や業務提携先の関係者などによるセキュリティリスクのことを「インサイダー脅威(Insider Threat、内部脅威)」という。特にコロナ禍のこの2年間は、テレワークの普及により従業員のモニタリングが難しくなり、インサイダー脅威によるサイバーインシデントの危険性が高まっているといわれている。

 米国のセキュリティ企業であるプルーフポイントと調査会社のポネモン研究所が共同で実施した調査「内部脅威による損失グローバルレポート2022」によると、内部犯行はすべてのインシデントの26%を占めているという。その内部犯行も、過去2年間で44%も増加した。そこで今回は、内部犯行の事件・事例を参考に、「従業員であっても、内部ネットワークであっても、信用しない」をコンセプトとした「ゼロトラスト」セキュリティ対策を見ていく。

(出所:123RF)
(出所:123RF)

ランサムウエア攻撃者グループが内通者を募集

 従業員や元従業員による情報の持ち出しや破壊、電子メールのアカウント情報の漏洩など、インサイダー脅威によるインシデント事例には枚挙にいとまがない。ここ数年の間に報道されたり、裁判となったりした主な内部犯行は表1の通りだ。

表1●内部犯行とされるインシデント事例(一部抜粋、未遂を含む)
時期被害組織事件の概要
2015年12月米グーグルグーグルの役員が、グーグルのネットワーク内部のサーバーから約1万4000個のファイルをダウンロードした。その後、この役員はそれらのファイルをグーグルが貸与したPCから個人のPCに転送。さらに、グーグルを退職する前に、様々なファイルを企業のグーグルドライブリポジトリーから個人のPCにダウンロードした。この役員はグーグルを退職後、数カ月以内に新会社を設立。同社を後に米Uberが買収した。
2018年5月米コカ・コーラカンパニーコカ・コーラカンパニーは、元従業員が個人のハードディスク上に労働者データを所有していることを発見し、データ侵害事件として発表した。コカ・コーラは、法執行機関と協力してデータの出所と有効性を調査。一部の文書には労働者の個人情報が含まれていると判断したと述べている。インシデントは8000人のコカ・コーラ労働者に影響を与えた。
2018年9月米シスコ・システムズシスコの従業員は、同社の許可なしにAmazon Web Servicesにホストされているクラウドインフラストラクチャに意図的にアクセスし、Cisco Webex Teamsアプリケーション用の456に及ぶ仮想マシンを削除した。このアプリケーションは、ビデオ会議、ビデオメッセージング、ファイル共有、およびその他のコラボレーションツールを提供していた。この従業員による破壊活動の結果、1万6000を超えるWebex Teamsアカウントが最大2週間シャットダウン。シスコは損傷を回復し、影響を受けた顧客に100万ドル以上を返金したが、そのための労働コストとして約140万ドルを費やした。
2013~2019年ブロードリンク(日本の産業廃棄物業者)ブロードリンクが機密情報破棄のために廃棄する予定だったHDDを従業員が盗み、ネットオークションで転売した。ネットオークションで落札したHDDから行政文書とみられるデータが復元されたと報じられ、事件が明るみとなった。影響は、HDDの情報破棄を依頼した官公庁を含む多数の組織に及んだ。内部犯行による情報漏洩事件として、日本社会に大きな影響を与えた。
2020年7月米テスラロシア人の攻撃者が、米ネバダ州にあるテスラ ギガファクトリーで働くロシア語を話す従業員を呼び出し、100万ドルの報酬と引き換えに内部ネットワークにランサムウエアを仕掛けるよう提案した。しかし従業員はこの誘惑を断り、テスラに報告した。事件は未遂に終わり、ロシア人の攻撃者は逮捕された。
2020年7月米GEGEのパフォーマンスエンジニアとして8年間働いていた従業員が、発電所で使用されるタービンを専門的に調整するために使用したGEのコンピュータープログラムと数学モデルの要素を盗んだことが調査で判明した。この従業員は企業秘密を含むファイルを含め、GEのシステムから何千ものファイルをダウンロード。また、IT部門内の従業員に、正当な理由がないファイルへのアクセスを許可するよう説得した。これらの8000を超えるファイルには、GEが新しい作業や契約に入札するために使用した提案とコストモデルが含まれていた。
2020年10月米アマゾンアマゾンは、顧客のメールアドレスを第三者に漏らした従業員を解雇したことを一部の顧客に通知した。

 表1では、役員や従業員が内部犯行に手を染めた様子が如実に示されているが、驚くべきことは米テスラの事件だ。テスラを狙う攻撃者が、100万ドル(約1億2000万円)という大金と引き換えに従業員にランサムウエアを仕掛けるよう提案したというのである。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。