Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

退職者の認証情報管理

NHKで内部犯行の事件が取り上げられていました。

www3.nhk.or.jp

高速道路の料金徴収を行う「中日本エクストール横浜」の33歳の元社員で、警察によりますと会社のセキュリティーに関するサーバーに不正にアクセスを繰り返し、去年8月東京や神奈川県など1都5県の料金所などにあるパソコンおよそ380台のセキュリティー機能を無効にしたとして、不正アクセス禁止法違反などの疑いが持たれています。

 

これまでの調べで、元社員はおととし3月に退職しましたが、以前システム管理を担当していて、サーバーにアクセスする際に必要なアドレスをメモに書いて持ち出していたということです。

NHKの記事より引用)

 

◆キタきつねの所感

普通にさらっと内部不正として流される事件ではありますが、退職者に対する会社側の管理不備と言っても過言ではない事件だと思います。大きな問題として、セキュリティに関するサーバに入るIDとパスワードが少なくても2年は変更されてないという事を示唆しています。犯人は2年前に退職しているとありますので、(個人のIDは削除されているのが普通と考えると)このIDは共用IDであった可能性が非常に濃厚です。

外部からアクセス可能なサーバに対して、

 ①共用IDを使っている

 ②多要素認証を併用していない

 ③パスワードは変更されていない

 ④380台も被害を受けている(監視してない)

状態であったと推測される事から言えるのは、この会社のセキュリティ(情報システム部門)は、古き良き時代の性善説のセキュリティ体制であり、誤解を恐れずに言えば、不正アクセスが多発する時代において何も考えて無いと言えるかも知れません。

 

海外の会社では、退職者が出たらそのクレデンシャル(認証情報等)は可及的速やかに取り上げるというセキュリティポリシーを徹底している所が多いようです。外資系出身の方が転職されてしばらくしてお会いする機会があったのですが、「ID証や機密資料だけでなく、名刺まですべて取り上げられました」と話していた事を思い出しますが、ロックアウト(退職が分かったら何も触らせない)の考え方・・までは日本企業でもやりすぎなのかも知れませんが、その担当者が重要なポジションであったのだとすれば、例えば退職日(近く)にログイン情報であったり暗証番号は変更する、これだけでこの事件は防げたはずなのです。

あるいはIDやパスワードは漏えいする可能性もありますので、リモートアクセスに対して多要素認証を被せるのも有効だったと思います。

複数のセキュリティの有効策が考えられた中で、1年半も経って攻撃を受ける・・・やはり脇が甘すぎるのではないでしょうか。

 

退職を考えている男性会社員のイラスト

 

更新履歴

  • 2018年5月24日PM(予約投稿)