「まるでフィクション？」　内部不正の新しいカタチを直近の事例で振り返る

　企業を狙うサイバー脅威はランサムウェアを含むマルウェアや脆弱（ぜいじゃく）性といった外部からのものだけではありません。従業員などがシステムに対し不正にアクセスしたり、破壊したり、情報を持ち出したりする「内部不正」についても、私たちは想定しておく必要があります。

【画像】もし同じ立場なら胃が痛い……　やむにやまれぬ（？）不正アクセス事案【全1枚】

　これまで内部不正については、「共有ID／パスワードを悪用してシステムを操作しデータを盗み出す」ことや「退職したにもかかわらずIDが有効のままで、それを使いシステムを破壊する」こと、「業務外でVPNに接続して不正アクセスを実行する」といったケースが想定されていたと思います。解雇を告げられた腹いせにシステムを破壊したり、同業他社への転職の前に、顧客情報を不正に盗んで手土産に持っていったりという報道は、海外だけでなく日本でもよく聞くようになってしまいました。

　しかしこの内部不正について、最近になって少し違った角度からも考えなくてはならないと感じる事件が発生しました。今回は内部不正という行為を想像するためにも、2つの事件をピックアップしたいと思います。

●もし同じ立場なら胃が痛い……　やむにやまれぬ（？）不正アクセス事案

　1つ目は、あるやむにやまれぬ（？）事情から不正アクセスを実行していたといういつの時代でもありそうな事件です。先日、福岡県の芦屋町の町役所職員が懲戒処分を受けたという発表がありました。

　発表によると、懲戒処分を受けた職員は、本来送付しなければならない国民年金保険税の更正通知書の送付を“失念”しており、その未送付が発覚することを隠すために「システムに不正アクセスし、納期限を勝手に変更した」とされています。

　この事件を取り上げたのは、処分を受けた職員を責めようというもちろん意図はなく、もし同じ問題が皆さんの組織で起きた場合、しっかりと事態を把握できるかどうかを考えてほしいからです。

　従業員に対する仕事のフォローというのは組織ごとにそれぞれのスタイルがあるはずですが、その際に万が一「システムに不正アクセスして期限を勝手に変更した」ということがあったとしても、それを検知する仕組みを持っていなければならない時代になったと感じています。

　そもそもの話をすると、一従業員が重要なデータを操作できてしまうこと自体も問題です。もし全てのIDに管理者権限相当の資格が与えられていると、このような不正行為を引き起こす要因になります。もしかすると、どこかのタイミングで本来は操作すべきではない情報を変更できてしまったことを知ったことが、大きな不正につながったのかもしれません。この意味でも、IDの権限管理の重要性がうかがえるのではないかと思います。

　筆者も新社会人の頃は何度も失敗をした記憶がありますが、それを隠せると知っていたなら、隠蔽（いんぺい）が巡り巡って大きな事件に発展していたかもしれない、と人ごとには思えない内容でした。チェック体制を確立するとともに、システム側でそもそも不正を実行できない、または不正を実行したとしてもすぐに検知できる仕組みを整えることが、インシデントを防ぐ重要なポイントになるはずです。

●あり得ないと思うような“内部不正”も目の前に？

　もう一つの事件は“まさかそんなことが起きるのか”というような新たな内容です。これは海外での事例ですが、KnowBe4が北朝鮮の「フェイクIT労働者」を検知し、不正アクセスが実行される前に防いだという事例が大きな話題になっていました。

　この事件は、KnowBe4がソフトウェアエンジニアを募集した際に、ビデオ会議による面接を4回実施し、しっかりと身元調査をしてから採用したにもかかわらず、そのエンジニアが実際には実在せず、AIで加工した写真／映像、そして盗まれたIDが使われており、入社後に不審な活動が見つかり、端末を隔離したというものです。

　KnowBe4は後日、あらためてこの事件をまとめたホワイトペーパーを公開しました。

　「そんなフィクションみたいなこと、ウチには起こらないよ」と思う方がいるかもしれませんが、実際のところこれは“対岸の火事”ではありません。2024年3月には外務省や警察庁、財務省、経済産業省らが共同で「北朝鮮IT労働者に関する企業等に対する注意喚起」を公開しています。具体的な事件に関しては触れていないものの、日本でもそれなりに現実的な脅威として、既に起きてしまっている事件なのかもしれません。

　この注意喚起では、特徴として「アカウントに長時間ログインしている」「累計作業時間が不自然に長時間」「一般的な相場より安価な報酬」などが挙げられており、一度は目を通しておくことをお勧めします。恐らくそもそもそういった人材は採用しないというのが一つの対策ではあるものの、それを見抜くことは非常に難しいでしょう。そうなると、内部の従業員の働き方をシステム的に監視し、業務時間外に不正な動きが見えたり、業務とは無関係のデータにアクセスしていたりなどの動きを検知できる仕組みが必要となるでしょう。

　かつてベネッセで発生した個人情報流出事件（2014年）を契機に、内部不正対策に向けた動き始めた企業もそれなりにいるはずです。しかし10年前では想像もつかないような事件が日本でも発生していることを考えると、内部不正対策という考え方を大きく広げ、行動の怪しさを検知できる仕組みが求められているのかもしれません。皆さんはこの2つの事件についてどう思ったでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。