パスワード解読と不正アクセスした研究員の事情：不正事件に学ぶ社内セキュリティの強化策（1/3 ページ）

ツールで複雑なパスワードを解読しようとしても実際には容易ではありません。今回はそれに成功してデータベースに侵入した人物の事件を紹介します。

[萩原栄幸，ITmedia]

　複雑なパスワードを専用ツールで解析しようとしても、実際には容易ではありません。しかし、ある中堅の製薬会社では、何者かが正規のIDとパスワードで社内データベースに不正侵入し、内容を閲覧したという事件が発生しました。事件について役員や人事部も交えた会議が開かれ、実行者は30代の男性研究員だったことが分かったようです。まずはそのやり取りから紹介しましょう。

（本連載で取り上げる事件は、筆者の情報セキュリティ事件の対応経験に基づいた架空の内容です。）

不正侵入の特定

担当役員　当社の最も重要なデータの1つである治験データベースに不正侵入した人物がいるのか。

サーバ管理者　ほぼ間違いありません。しかも正当なIDとパスワードで侵入したようでして、社内調査からK研究員だと断定しました。

副社長　そのKはどのような人物なのかね。

人事部長　基礎研究部で新薬の基礎研究プロジェクトのメンバーに従事しています。プロジェクトでの立場は中堅ですが、人事考課では低い評価です。内部試験の成績は申し分ないのですが、統率力や指導力、プロジェクトメンバー間の信頼といった点は評価が良くないようです。

担当役員　Kの犯行だと考えた根拠は何かね。

人事部長　アクセスログの解析から、事件の深夜に不正アクセスをした可能性があるのは2人であることが分かりました。その2人について外部のフォレンジック調査会社に連絡し、2人が帰宅した金曜日深夜にPCを調査しました。

担当役員　事件の可能性を想定して、以前に全従業員からこのような調査をすることの同意書を提出してもらったが、実際に行使することになるとは……。

人事部長　作業では、2人のPCのHDDを完全にコピー（証拠保全の作業）し終えるまで人事部と調査部が立会っています。その後の休日に調査会社が解析して、3人分の管理者権限IDとパスワードを記載したファイルが見つかりました。その1つが今回の事件に使われたIDでした。

副社長　そのファイルがあったのがKのPCということだね。

人事部長　はい。もう1人のPCからは事件に関連するものが何も見つかりませんでした。Kについては本日出勤した時点で人事部付とし、自宅で待機するよう命じました。調査部が詳しく面談しますが、自宅のPCも調査するため、家族の了承を取り、調査員と人事部、調査部、顧問弁護士が向かいました。