のぞき見だけで不正アクセス、内部犯罪はローテク見本市会社に潜む情報セキュリティの落とし穴(1/2 ページ)

企業内からの情報漏えい事件では社内の人間が関与するケースが少なくない。彼らは周囲の人間が驚くほど簡単な手段で情報の持ち出しを試みている。

» 2009年01月27日 08時00分 公開
[萩原栄幸,ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらで読めます!


 7年程前にもなりますが、ある会社では部長のIDとパスワードを不正に入手し、悪事を働いていた人物が見つかりました。わたしはこの事件から、セミナーなどで実例の紹介とその対策について、4年ほど前より講演を行っています。その内容は以下の通りです。

  • 場所:自動車販売会社の本社営業部
  • 実行者:入社5年目の20代男性(役職なし)
  • 手段:ショルダーハッキング(肩越しののぞき見行為)の応用でID、パスワードを入手
  • 内容:経営サイドだけが知る社内情報や同僚の人事考課の閲覧、自身の人事考課の改ざん
  • 原因:出世コースに乗り遅れまいという切迫感。部長の無理解
  • 防止策:ID、パスワードの変更管理、ログ情報のチェック、深夜での操作禁止、評価の透明性確保、面談の強化、メンタル面での会社としてのサポート、ソフト面での対応も(以下略)

 また、2008年11月25日付MSN産経ニュースによると、横浜地裁で20代の書記官が上司のPCをのぞき見したなどの問題で、処分を受けました。自分の人事情報を閲覧したり、上司が保管していた機密情報を持ち出したりしたとのことです。

 内容を見ると、わたしが講演で取り上げている題材と上記の事件は極めて類似していることに気付きます。「組織の内部犯罪」という研究テーマから、さまざまな事件を取りまとめ、分析をしてきましたが、驚くべきことにそのほとんどのケースが横浜地裁での事件と同様に、稚拙な「ローテク」犯罪であるという事実が分かりました。現在のような、一見するとITが普及している社会での犯罪は、ハイテクを駆使した高度な内容が主流だと思われがちです。しかし、実際にはショルダーハッキングのようなローテクが最も多いのです。

 このショルダーハッキングを応用した実際の事件をもう一つ紹介します。ある製造業のA支社で情報漏えい事件が発生しました。会社から依頼を受けて調査をした結果、ログ分析などから支社長になりすましてシステムに不正侵入していることが分かり、疑わしい人物を絞り込むことができました。しかし調査中に不正侵入は続き、この人物がどうやってパスワードを入手していたのかが分かりませんでした。犯人を特定するのも重要な作業ですが、なりすましの原因を特定することも重要な作業だったのです。

 ショルダーハッキングも可能性に挙げられましたが、支社長とこの人物の間には接点が全くありません。支社長のパスワード管理は徹底されていました。パスワードは月1回以上の頻度でランダムな内容に変更されていました。文字の桁数は10〜15桁と変則的で、使用する文字列も変則的だったのです。さらに支社長の執務スペースは個室であり、この人物が日中簡単にショルダーハッキングをできる要素がまったく見当たりませんでした。

 調査中に何度もパスワードを変更しましたが、その翌日には新しいパスワードで不正侵入されていました。支社長が誰にも知られないように変更しても、翌日には侵入されてしまいました。PCの中にキーロガーなどのスパイウェアがないか徹底的に検査しましたし、外部からの犯行とも思えませんでした。「これは大変なことになった。新しい手口なのか?」と思い、ログ分析やさまざまな手段でも多方面から調査しましたが無駄でした。最後にあらゆる可能性を検討した結果、支社長の了解を得て監視カメラを設置し、再度パスワードを変更してもらうことになったのです。また、ほとんどの操作ログを改めて収集するようにしました。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ