クラウド化の途中で起きた不正アクセス、顧客マスターが不正コピーされた理由：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

中堅出版社がクラウドを試す最中に、不正アクセスによって顧客マスターが外部流出した。幸いにも機密性の高いデータは含まれていなかったが、なぜ不正アクセスが起きたのだろうか――。

[萩原栄幸，ITmedia]

　東京にある中堅出版社のA社で社内システムに侵入があり、その中にある「顧客マスター」がコピーされる事件が起きた。たまたま、同社ではクラウド化を試行している最中だったので、顧客マスターとはいっても、そのデータには肝心の住所データは含まれず、謝罪をするレベルではなかった（個人を特定できない内容のデータ）。だが、事態を重視した経営側は、その調査を筆者に依頼してきたのであった。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

事案：東京の中堅出版社の「顧客マスター照会システム」に不正侵入が発生した。顧客のマスターデータが不正コピーされたが、そこには極めて機密性の高い情報は含まれていない。コピーデータは外部サイトに流出した。

　不正侵入が起きたのは、「顧客マスター照会システム」である。システム管理者を含む3人にデータの「更新権限」があり、その他の従業員には「閲覧権限」が与えられていた。ただし、「データコピー」については営業活動の必要性を理由に全ての従業員に与えられていた。

　事件発生の半年前からA社ではデータをクラウド上に置き、万一のバックアップを含めた業務システムの大幅な刷新を行っていた。原則として社内のデータサーバの容量を9割削減する方向でテストが実施されていたのである。そういう過渡期にシステムへ不正侵入され、データをコピーされた。

　偶然にもその時のマスターデータに「住所情報」はなかった。正確にはその項目は存在していたが、ほとんどの処理ではクラウド上の作成途中の顧客マスターを参照してバッチシステムが動くようになっていた。データサーバ上にある「住所情報」の中身は空白である。これはシステム稼働テストの一貫で、すぐにクラウド上のデータか、サーバ上のデータかを識別するためでもあった。コピーされたのはデータサーバ上の「顧客マスター」であり、インターネットを介して外部サイトに送りつけられていた。

　A社内での先行調査の結果、システムに侵入する際に実在するIDが悪用された。従業員B氏のIDである。ただし、その侵入された日時にB氏は、客先で上司や部下ら4人とともにプレゼンテーションの真っ最中であり、不正侵入行為をするような時間は無く、少なくとも直接的な被疑者ではないことは分かった。

　それ以外の可能性としては、B氏が他人にアクセス情報を教えたか、メモなどに記載しているものが漏れたか、あるいはクラックツールなどによりパスワードが第三者に知られてしまったのか――という状況であった。筆者に相談があったのはこのタイミングであった。

　筆者はまず会社の了解を得て、B氏を役員室に呼び、ヒアリングを行った。

　B氏にはさまざまな角度から質問したが、その答えに不審な点は見当たらなかった。犯罪心理学上からもB氏に対する評価は、ほとんど「白」と言える状況である。ただし、それでも自分の行動をうまく隠せる人格もあるので、信用をするわけにはいかないのだが……。

　そこで、「故意」から可能性の範囲を広げて「過失」や「自分では気が付かない行為」までを含めて質問を続けた。すると雑談に近い会話の中で、B氏からこんなコメントが出たのである。

筆者　最近あなたの周囲で事件や事故などありませんでしたか。ささいなことでも構いませんので、教えてください。

B氏　そういえば、ネット記事を配信しているC社から連絡がきて、「あなたの会員情報が盗まれた可能性がある。情報を一度失効させるので、再登録を早急にお願いしたい」と言われました。

　不正アクセスによる情報漏えいなどがネット記事で騒がれていた時期ですし、C社の情報にお金に関するようなものはありません。記事の一部だけを表示させて、「ここから先をお読みになりたい方は会員限定情報に付ログインするか、未登録の場合は会員登録を押して、個人情報を登録する必要があります。会費は無料です」といったものです。情報を盗まれても実害など無いに等しいのですが、記事が読めなくなるのは困ります。フィッシング詐欺でも無いことは、ウイルス対策ソフトの通知を確認していますので、情報を再登録しました。

　筆者は少し考えて次の質問をした。

筆者　当然ですが、個人情報はきちんと登録されましたよね。確か連絡先の記入は「勤務先」か「自宅」か選択するのが一般的です。Bさんはどちらを選択しましたか。

B氏　それは当然「勤務先」ですよ。ただでさえ個人情報を記載するのは嫌なのに、「自宅」を選択するのは自営業など一部の方だけだと思いますよ。

　確かに大部分のケースはやっかいなことになる可能性もあると考え、きちんと登録するだろう。また、その際には「勤務先」を選択することも理解できる。勤務先が分かってしまうことと、自宅が分かってしまうことでは万一のことを考えと、やはり勤務先を選択してしまうのが自然だ。

筆者　C社サイトのIDとパスワードですが、会社で使っているIDとパスワードで登録しましたか。

B氏　（笑いながら）よく分かりますね。いちいち考えるのが面倒なので、会社で使っているIDとパスワードにしました。社則にも「禁止」と書いていませんで。処罰になることをしましたか。

筆者　確かに「会社で使用するIDやパスワードを他のところで利用してはいけない」と明文化されていませんね。この件で直接的な処罰が下ることはないでしょう。でも、安易であることは否めませんね。

　B氏は苦笑いをしていたが、筆者は密かに「これだ！」と思った。