Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

2018年前半の内部犯行事件

Darkreadingが2018年の6大内部犯行事件を発表していましたので、参考まで意訳してみます。

www.darkreading.com

①Tesla(テスラ・モーターズ

テスラで起きた工場への破壊的攻撃は、2018年の内部犯行事件の中で最も影響が大きかった。イーロン・マスクCEOが社内メールを送った事により発覚したこの事件は、内部関係者が製造プロセスを制御するソフトウェアを故意に妨害し大きな影響を受けた。内部犯行者(インサイダー)が自分の特権を悪用を厳しく規制する新たな管理策が必要だとセキュリティ専門家は警鐘を鳴らした。

 

参考:

foxsecurity.hatenablog.com

②Punjab National Bank(パンジャブ国立銀行

テスラの事件よりも、おそらく損害が大きいのがインドのパンジャブ国立銀行における18億ドルの内部詐欺行為。銀行員がSWIFTの国際決済システムの非常に機密性が高いパスワードへ不正にアクセスし、非常に複雑な不正決済チェーンを利用して資金を不正に操作し、ダイアモンドの原石を購入しました。

 

Facebook

ソーシャルメディアの巨人は、信頼する従業員だけでなく、セキュリティ技術者、すべての人々を特権乱用のために非難されなければならなかった。元従業員は自らのアクセス権限を越えてFacebeユーザのプライバシーを侵害し、Women Onlineを巣トーキングしました。Motherboardによると、これは単独犯行ではなく、複数のFacebook従業員が個人情報へのアクセスを悪用したとして解雇された可能性がある。

 

④Coca-Cola

去年発生し先月発覚した事件で、元従業員が機密データを個人ハードディスクに入れて盗むという古典的なインサイダーの漏えいで、コカコーラは被害を受けた。持ち出されたデータは約8000人のコカコーラの従業員情報で、コカコーラ側は法的執行機関の執行官が訪ねてくるまでその違反(事件)について知らなかった。

 

参考:

foxsecurity.hatenablog.com

⑤Nuance

音声認識ソフト会社のニュアンスは、インサイダー攻撃を受け、医療履歴プラットフォームの1つに格納された45000人分の患者記録を漏えいした。この漏えいは、連邦捜査(FBI)によると、同社のサーバにハッキングして侵入して患者情報を持ち出された。

 

⑥Suntrust Bank(サントラスト銀行)

米国ジョージア州のサントラスト銀行は、4月に元従業員が150万人の銀行顧客の氏名、住所、電話番号、口座残高の情報を盗んでいたと発表した。悪意のある内部者が、外部の犯罪者にデータを提供しようとしていましたが、銀行側はデータは送信前であったと発表している。

 

◆キタきつねの所感

2件は記事に既にしていた事件ですが、その他4つは内容を把握してませんでした。内部犯行は一般的に、サイバー(第三者)攻撃に比べると数は少ないのですが、事件が発生した際の影響範囲が大きいと言われていますが、Dark Readingで取り上げられている6つの事件はまさに、それを表していると言えます。

こうした事件を自社のセキュリティ対策の参考にする場合、技術的な脆弱点(穴)だけでなく、何故内部犯行者が犯行に向かっていったのか、いわゆる人の部分もよく見ておく必要があるかも知れません。

例えば借金をしている背景が犯行なのだとすれば、従業員が金銭的に困ってないか定期的にチェックできる方法は無いか、と考えるのもセキュリティ対策(人事管理)の1つとなります。

もう1つ思うのは、信頼できる従業員(特権ユーザ)であったとしても、その権限が取られてしまった時を考慮して、「ゼロトラスト」の設計思想で、常にその行動を確認(認証)する、監視・レビューする事も検討していく事が有効かも知れません。

 

サイバー攻撃に対して、内部者への信頼から対応が甘くなる、あるいは技術の進展と共に従来の管理策が甘くなった事に気づかないのが内部犯行ですので、こうした他社の不幸な事例を参考に内部対策も定期的に見直す事が必要だと思います。

 

 

 

 

ピッキングをする空き巣のイラスト

 

更新履歴

  • 2018年7月8日AM(予約投稿)