漏洩した情報件数の規模感とその手口から、2014年に通信教育大手で発生した内部不正事案を思い出した人もいるのではないだろうか。調査の結果、2013年7⽉頃から不正行為が行われていたと想定されることから、10年間という長期間気づくことができなかった点が顕著なポイントだろう。
とにかく「気づきにくい」サイバー犯罪
サイバー攻撃や内部不正といった企業や組織を狙うサイバー犯罪において、近年最も悩ましい点が「気づきにくい」という点だ。さまざまな調査データがあるが、サイバー犯罪が行われ始めてから、企業や組織が自らの被害に気づくまでには、実に半年以上かかっているというデータもある。このデータはあくまで被害に気づくことができた場合の平均値である。情報漏洩などの被害にあっていること自体にまったく気づかないケースも多々ある。サイバー犯罪者が攻撃を始めてから完了するまでにはどれだけの時間がかかっているのだろうか。パロアルトネットワークスが確認しているケースを見ると、ランサムウェア攻撃の場合には平均28日間、ビジネスメール詐欺の場合には平均38日間となっている。中には、数TBものデータを数時間で外部に不正に流出させた事例もある。攻撃側のデータと被害側のデータを比較すると、その数値はまったくといっていいほどマッチしていない。
内部不正の場合には、データをはじめとした対象となるリソースに対してアクセス権を持っている者が、リソースの場所をすでに把握しており、かつ、自身が流出などの行為を実行可能だと事前に承知の上で犯行におよぶ。つまり、1回で行われる不正行為は数時間というケースもあるが、数十分、場合によっては数分で完了することもある。
データを暗号化して脅迫するランサムウェアのようなサイバー犯罪であれば、データが使い物にならなくなることが目に見えるので被害に気づくことができる。情報の不正流出のような場合、目にみえるものではない上に、アクセス権限を持った人物による、システム上の権限の範囲内で認められている行為であれば、不正と判断することは難しくなる。
監視をしていなければ、被害に気づくことは一生ないだろう。「おたくの会社から情報が漏れているんではないですか?」といった外部からの問い合わせで被害に気づくケースが多いのはそのためだ。
