テクノロジー

2023.10.26 10:30

「10年前」から漏れていた顧客情報、あなたの会社も気づいていない内部不正

Shutterstock.com

Shutterstock.com

内部不正に対する懸念が依然として企業に根強い中、NTTマーケティングアクトProCXで把握できているだけでも59のクライアント組織の顧客情報900万件が漏洩するという事態が発生した。コールセンターシステムの運用保守を担当していたNTTビジネスソリューションズの派遣社員が、顧客情報をシステムからダウンロードして外部記録媒体に保存して不正に持ち出したというものだ。

漏洩した情報件数の規模感とその手口から、2014年に通信教育大手で発生した内部不正事案を思い出した人もいるのではないだろうか。調査の結果、2013年7⽉頃から不正行為が行われていたと想定されることから、10年間という長期間気づくことができなかった点が顕著なポイントだろう。

とにかく「気づきにくい」サイバー犯罪

サイバー攻撃や内部不正といった企業や組織を狙うサイバー犯罪において、近年最も悩ましい点が「気づきにくい」という点だ。さまざまな調査データがあるが、サイバー犯罪が行われ始めてから、企業や組織が自らの被害に気づくまでには、実に半年以上かかっているというデータもある。このデータはあくまで被害に気づくことができた場合の平均値である。情報漏洩などの被害にあっていること自体にまったく気づかないケースも多々ある。

サイバー犯罪者が攻撃を始めてから完了するまでにはどれだけの時間がかかっているのだろうか。パロアルトネットワークスが確認しているケースを見ると、ランサムウェア攻撃の場合には平均28日間、ビジネスメール詐欺の場合には平均38日間となっている。中には、数TBものデータを数時間で外部に不正に流出させた事例もある。攻撃側のデータと被害側のデータを比較すると、その数値はまったくといっていいほどマッチしていない。

内部不正の場合には、データをはじめとした対象となるリソースに対してアクセス権を持っている者が、リソースの場所をすでに把握しており、かつ、自身が流出などの行為を実行可能だと事前に承知の上で犯行におよぶ。つまり、1回で行われる不正行為は数時間というケースもあるが、数十分、場合によっては数分で完了することもある。

データを暗号化して脅迫するランサムウェアのようなサイバー犯罪であれば、データが使い物にならなくなることが目に見えるので被害に気づくことができる。情報の不正流出のような場合、目にみえるものではない上に、アクセス権限を持った人物による、システム上の権限の範囲内で認められている行為であれば、不正と判断することは難しくなる。

監視をしていなければ、被害に気づくことは一生ないだろう。「おたくの会社から情報が漏れているんではないですか?」といった外部からの問い合わせで被害に気づくケースが多いのはそのためだ。
次ページ > 義務化にシフトする「インシデントの通知」

編集=安井克至

タグ:

advertisement

ForbesBrandVoice

人気記事