はじめに
従業員の過失や不正行為は、企業に大きな打撃を与える可能性があります。それは時に、ハッカーによる外部攻撃よりも大きな被害額です。大手分析会社によると、インサイダーの脅威が1件発生した場合に発生する平均コストは、484,931ドルから804,997ドルと言われています。日本円にして、1億円を超える場合もあるのです。
とはいえ、大きなインシデントを経験したことがない企業にとっては、リアリティが感じられない金額です。そこでこの記事では、世界的に有名な組織に影響を与えたサイバーセキュリティインシデント事例を9件確認し、今、企業に必要なセキュリティ対策を考えていきます。
これら一つ一つの事例には、教訓が隠れています。さらに読み進めると、フィッシング、特権の乱用、内部情報漏えい、知的財産の盗難、第三者ベンダーによる攻撃など、さまざまなタイプの情報セキュリティ事故から自社を守る方法が見えてくるはずです。
フィッシング攻撃 T社(アメリカ SNS提供企業)
ソーシャルエンジニアリング(人の心理的な隙に付け込んで認証情報を盗み取る方法)に関連するインシデントの60%以上は、フィッシングが原因であるとされています。そして、フィッシングは、ダウンローダー(マルウェアをダウンロードする仕組みを持ったプログラム)やランサムウェアと並んで、悪意のある攻撃者が侵害を引き起こすために取る行動のトップ3と言われています。
2020年7月中旬、T社は大規模なスピアフィッシング攻撃に見舞われました。そして、ハッカーはソーシャルネットワークの管理者権限を侵害することに成功しました。ハッカーはT社のSNSで発信をしていた著名なユーザーのアカウントをハッキングし、あたかも彼らが発信したように偽のビットコインプレゼントの案内を始めました。
ハッカーの侵害手順は、このようになっています。
まず、ハッカーは同社のIT部門の専門家を装って、T社のリモートワーカー数人と連絡を取りました。そして、彼らの持っている仕事用アカウント情報を伝えるように要求したのです。手に入れた認証情報を使って、ハッカーはソーシャルネットワークの管理ツールに簡単にアクセスできるようになりました。管理ツールにアクセスしたハッカーは、数十件の著名人のTwitterアカウントをピックアップし、パスワード設定などをリセットしました。著名人のアカウント乗っ取りに成功したハッカーは、悠々と詐欺のメッセージを投稿し始めたのです。
このフィッシング攻撃から学べる事
今回の原因は、従業員の一部が、IT部門の専門家を装ったハッカーにアカウント情報を教えたことが発端でした。従業員が「IT部門の担当者が従業員に対して直接アカウント情報を聞く事はない」こと、そして、「誰が、どのように、どのような状況でパスワードをリセットできるか」を知っていれば、ハッカーの罠にはまる可能性は大幅に低下したでしょう。問い合わせをしてきた相手がハッカーであることを即座に見抜けた可能性もあります。
企業としてサイバーセキュリティポリシーを確立することは重要ですが、それだけでは不十分です。組織は、従業員がポリシーを理解し、サイバーセキュリティの意識を高めるために、定期的なトレーニングを実施する必要があります。
特に、特権アカウントは、最も重要なシステムやデータにアクセスできるため、保護が必要です。ハッカーが特権アカウントにアクセスした場合、組織の持つ重要なデータと評判に壊滅的な打撃を与える可能性があります。悪意のある行動をタイムリーに検知・防止するには、継続的なユーザー監視、多要素認証(MFA)、ユーザーとエンティティの行動分析(UEBA)を可能にするソリューションの導入を検討する必要があります。
特権の乱用 U社(アメリカ テクノロジー企業) I委員会(スイス 国際機関)
組織には、管理者、技術専門家、マネージャーなど、高い権限を持つユーザーが複数存在します。彼らは、特定のデータベースやアプリケーションなど、ごく一部のリソースにしかアクセスできないユーザーもいますし、ネットワーク上のすべてのシステムにフルアクセスでき、誰にも気づかれずに新しい特権アカウントを作成できるユーザーもいるかもしれません。
残念なことに、上位のアクセス権を持つユーザーがその特権を悪用しているかどうかを検知することは困難です。このような犯人は、しばしば自分の行動を巧妙に隠し、下のU社の事例のように、内部調査を欺くことさえあるからです。
U社
2020年12月当時、U社に勤めていた従業員が管理者権限を悪用して機密データを盗み出す事件が発生しました。犯行目的は、私的な利益のためでした。攻撃者は上位の開発者向けに付与された認証情報を悪用し、VPNサービスを通じて、同社のAWSとGitHubのサービスにアクセスしました。
さらに、この従業員はハッカーになりすましてU社へ「同社のソースコードと製品情報を盗んだ」と連絡をしました。そして、盗み出したデータに対して、約200万ドルの身代金を要求したのです。
恐ろしい事に、この従業員は自分が起こしたハッカー事件の対応チームに入っていました。そして、外部の攻撃者が同社のAWSリソースに侵入したと虚偽の報告をし、会社の追跡を逃れようとしたのです。
I委員会
2022年1月、I委員会はサイバー攻撃を受け、大規模なデータ漏えいに見舞われました。I委員会の元アドバイザーであるO氏によると、委員会が所属する人道支援団体の歴史上、最も重要な情報の漏えいだったと言われています。この侵害により、紛争や災害を始めとする様々な理由で家族と離ればなれになった51万5000人以上のデータが流出しました。
この情報漏えいの原因は、当初、同団体の下請け業者に対する攻撃であると考えられていました。しかし、調査の結果、攻撃はI委員会のサーバーを標的としていたことが判明しました。攻撃者は、脆弱性を利用してI委員会のシステムにアクセスし、特権アカウントを侵害、管理者になりすまして機密データを取得したのです。
この特権乱用事件から学べる事
U社やI委員会が経験したようなインシデントを防ぐには、特権アカウントの承認方法を見直す手段を取ることです。例えば、重要な資産に対するアクセス要求を手動で承認することで、組織の特権アカウントの乱用を止めることが可能です。
また、複数の担当者が使用する管理者アカウントや、サービス管理アカウントを持っている組織も多いでしょう。この場合、二次認証を使用することで、個々のユーザーアカウントを特定し、区別して管理できます。
また、今回の場合は、AWSでユーザーアクティビティの監視を行うという選択肢もありました。不審なイベントを迅速に特定することができるため、クラウド環境から重要なデータが盗まれるリスクを低減できます。
犯人が虚偽の報告をして現場をかく乱した場合に備えて、詳細なユーザー活動の記録を取っておくことも重要です。記録が分かりやすいほどにインシデント調査のプロセスを簡素化でき、犯人のかく乱をすぐに見抜くことができます。
インサイダーによるデータ盗難 S社(カナダ eコマース企業)とアプリC(モバイル決済サービス)
S社
2020年、有名なeコマースプラットフォームS社がインサイダー攻撃の犠牲となりました。S社の従業員2人が、約200に及ぶ販社とのオンライン取引記録を盗み出したのです。彼らは、顧客のデータが入ったスクリーンショットと情報を保存したGoogle Driveのリンクを、外部の依頼者に送っていました。犯行の動機は、犯罪者が彼らに提示した報酬金でした。
同社の声明によると、連絡先や注文の詳細など、加盟店の顧客データが流出した可能性があるとのことです。S社は、この事件によって、機密である個人情報や財務情報は影響を受けていないとしています。
アプリC
2021年12月、アプリCの開発元であるB社は、サイバーセキュリティ事件が発生したことを公表しました。「元」従業員が、アプリCを利用した経験のある800万人以上の顧客情報が記載された内部報告書をダウンロードしたことが明らかになったためです。
この報告では、元従業員がどれくらいの期間、機密性の高い社内データアクセスできる環境であったのかは一切語られませんでした。B社は盗まれたレポートにはユーザー名やパスワード、社会保障番号(日本でいうマイナンバーカード番号)といった個人を特定できる情報は含まれていないと主張しています。
インサイダーによるデータ盗難の事例から学べる事
今回のデータ侵害は、いずれも最小特権の原則を遵守していれば、防ぐことが出来た可能性がありました。組織の機密データを保護するための最初のステップは、ユーザーによるデータへのアクセスを制限することです。最小特権の原則を導入して、強固なアクセス管理を確立し、重要なシステムや貴重なデータを侵害の可能性から保護することを検討する必要があります。
また、ユーザーの行動を監視することで、役職に関係なくユーザーが行ったデータの閲覧やサービスへのアクセス、パブリッククラウドの閲覧、個人アカウントへの添付ファイル付きメールの送信など、従業員の不審な行動をサイバーセキュリティチームが検出できます。
また、従業員との契約が終了したら、適切な退職時のプロセスを確立することが重要です。アカウント・VPNアクセス権限の削除、リモートデスクトップアクセスの無効化、従業員が知っているアクセスコードとパスワードの変更、メールグループと配布リストからの従業員のアカウントの削除などのチェックリストを作成しておきましょう。
知的財産の盗難 I社(アメリカ 半導体メーカー)、P社(アメリカ セキュリティ企業)、P社(アメリカ 製薬会社)
I社
I社は、2020年1月に、元従業員に対して訴訟を起こしました。元従業員であるG博士が、機密文書と企業秘密を盗んだためです。G博士はI社に10年間勤務していましたが、退職前の数日間に機密文書を盗み出し、外付けハードディスクに入れて持ち出しました。盗まれたファイルの総数は3,900以上にのぼります。
そのような悪質な盗難を行ったG博士は、I社を退職した後、大手ソフトウェア開発企業であるM社の管理職に就任しました。その直後、G博士はM社とI社の間でプロセッサーの供給に関する交渉に参加しました。交渉中、G博士は新しい雇用主にとって有利になるように、I社の機密情報や企業秘密について言及しました。
P社(アメリカ セキュリティ企業)
2021年1月、P社の元ナショナル・パートナー・セールス・ディレクターが同社の営業秘密を盗み、競合他社へ共有したと発表されました。その文書には、従業員が転職した会社であるA社と競合するための戦略や戦術が含まれていました。
P社の代理人は、雇用開始時に競業避止義務および勧誘禁止契約にサインしたにもかかわらず、元ディレクターが機密文書の入ったUSBドライブを持ち出したと主張しています。
P社(アメリカ 製薬会社)
2021年10月、P社に15年間勤務をしていた従業員が、感染症のワクチン情報、P社とワクチン開発を推進するB社との関係資料、実験的ながん治療に関するデータが入った1万2000件の機密文書を盗み出しました。
P社は、元従業員が企業秘密を含むファイルをGoogle Driveのプライベートアカウントと個人用デバイスにアップロードしたとして、元従業員を訴えました。元従業員は、盗んだ情報を、以前自分に内定を出したX社に渡す可能性がありました。X社は、P社の競合会社の一つです。
知的財産の盗難の事例から学べる事
今回の問題は、長く勤めていたり、要職に就いていた従業員が突然引き起こしたものでした。当たり前のことですが、取締役も、管理職も人間です。従業員への信頼が深まる程、疑いの目を向ける事はなくなるでしょう。まさか彼が、まさか彼女が…という人間が行ったため、いくら大企業とはいえ、不正を未然に防ぐことは叶わなかった可能性があります。
では、こういった場合にどのようなセキュリティ対策が出来るのでしょう。まず第一は、知的財産を保護する立場にある企業として「最も価値のある知的財産は何か」「それはどこにあるのか」「誰がそれらのデータにアクセスする必要があるのか」を特定する必要があります。
それらを洗い出したとしても、自社の技術部門がリソースにアクセスする事もあるでしょう。その際は、業務に必要なアクセス権だけを与えるように調整を行う必要があります。アクセス管理ソリューションを使用して、未承認者が知的財産にアクセスするのを防ぎましょう。
知的財産の保護を強化するために、ユーザー活動監視およびユーザーの行動分析(UEBA)ツールを利用を検討することもできます。このようなソリューションは、ネットワーク内の疑わしい活動を検出し、それをブロックし、詳細な調査のための証拠を収集するのに役立ちます。
また、従業員が機密データをコピーしたり、未承認のUSBデバイスを使用することを不可能にするコピー防止ソリューションや、USB管理ソリューションの導入を検討することも選択肢にあげられます。
サードパーティベンダーの攻撃 V社(ドイツ 自動車製造業)
V社
2021年5月、V社は、V社のディーラーが機密データにアクセスしていたことを明らかにしました。ディーラーは、V社がWebマーケティングのために提携していたベンダーへハッキングをしかけ、V社の子会社であるA社の顧客・潜在顧客である300万人以上に影響を与えました。
漏えいしたデータの多くは、顧客の連絡先と、購入した、または問い合わせをした車両に関する情報でした。しかし、免許証番号や郵便の宛先まで漏えいした顧客も存在します。それら約9万人にたいして、V社は無料の信用保護サービスを約束しました。
サードパーティベンダーの攻撃事例から学べる事
Webマーケティングのために顧客から収集した情報を渡したベンダーがハッキングされてしまった…という事例は、衝撃的です。V社からすれば、自分たちよりもよほど堅牢なセキュリティ環境で顧客データが守られていると思っていたことでしょう。
サードパーティベンダーを選定する際、ベンダーが守るべきサイバーセキュリティポリシーや、規制に注意を払う必要があります。彼らがサイバーセキュリティの意識を欠いている場合、契約に要件を追加することを検討しなくてはなりません。
重要な資産の保護を強化するために、MFA、手動ログイン承認、ジャストインタイム特権アクセス管理などの追加のサイバーセキュリティ対策の適用を求める必要があります。
また、重要なデータを誰がどのように操作しているかを確認するために、踏み台サーバーを監視するソリューションも検討できます。サードパーティによる行動を記録に残すことで、サイバーセキュリティ監査やインシデント調査を迅速かつ徹底的に行うことができます。
Ekranを始めとする監視ソリューションで、インシデントを防止する
適切なサイバーセキュリティソリューションを導入することにより、サイバーセキュリティインシデントのリスクを減らすことができます。Ekranの機能を例に、インサイダー脅威の早期発見、抑止を支援する方法を確認していきます。
ユーザーの行動を監視
Ekranはユーザーの行動に合わせてスクリーンショットを取得し、「いつ」「誰が」「どんなアプリケーションを使用したか」を同時にメタデータとして記録しています。このメタデータは検索が可能です。二要素認証機能を用いて、一般ユーザーと特権ユーザーの行動を可視化します。プレイヤーはシンプルで操作しやすく、フィルタリングオプションを用いて特定のイベントやユーザーの記録を確認、および調査できます。
「常に記録を取られている」という状況は、不正行為への強い抑止機能となります。同時に、何らかのインシデントが発生した際に、従業員の無実を示す証拠にもなります。
アクセス管理
二要素認証、ワンタイムパスワード、手動アクセスリクエスト承認、二次認証の機能により、重要なシステムやアプリケーションの保護を強化します。
アクセスリクエストや二要素認証の記録もEkran上に残るため、紙を使った申請は不要である上、利用記録を残すことも可能です。
さらに強力な特権アクセス管理(PAM、特権IDアクセス動画記録)を行いたい場合は、Safeguardをご利用ください。
USB デバイスのセキュリティ管理
Ekranをインストールしたデバイスに対して、未許可の USB デバイスを検出、および制限します。制限時にアラートを出したり、警告画面を表示させ、情報資産の盗難や不正アクセスから保護します。
画面を記録してメタデータを取っているとはいえ、データの持ち出しは数十秒で行われることがあります。USBのブロック機能があることで、さらに安全性を高めることができます。
サードパーティベンダーの監視
踏み台サーバー運用時、下請け業者によって開始された SSH および RDP セッションの継続的な監視を実施します。ニーズに応じて、特定のユーザーによって開始されたセッションに焦点を当てることも、すべてのユーザーセッションを監視することも可能です。
リアルタイムのインシデントレスポンス
定義済みアラートや、カスタムしたアラートを使用して、セキュリティインシデントの疑いがある行為について、リアルタイム通知を受け取ることができます。行動分析および異常検知機能を活用し、疑わしいユーザーの行動を即座に検知することができます。
マルチOS対応エージェント
多様化するOS構成に、1製品で対応ができるかという点も、確認点となるでしょう。Ekranは、Windows、Linux、macOS、UNIX、X Window System、Citrix、VMwareといったさまざまな環境において、画面記録、メタデータの取得が可能です。
音声記録など、OSによって機能が異なる点もございますので、確認が必要な方はお気軽にお問い合わせください。
まとめ
機密データの漏えいや侵害、企業秘密の盗難、権限の不正使用、フィッシング攻撃など、発生するサイバーセキュリティインシデントは、日々多様化しています。
他の組織で発生した最新のセキュリティ侵害事例を分析することは、自社のネットワークにおけるセキュリティ・ギャップやサイバーセキュリティ・ポリシーの不備を発見するのに役立ちます。他社の経験を知った上で、自分の組織におけるデータ保護戦略を再考し、内部脅威に対してより効果的なものにしていくことをお勧めいたします。
参考URL 9 Best-Known Cybersecurity Incidents and What to Learn from Them