Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

退職者のチェックが最終防衛ライン

アークレイの内部犯行事件には考えさせられるものがありました。

www.nikkei.com

男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。

送検容疑は2018年5~6月、同社が管理していた研究開発データなど社外秘のデータ計17件を、不正にUSBメモリーに複製するなどして社外に持ち出した疑い。

府警上京署によると、男は遺伝子検査の研究開発チームの班長を務め「転職の際、自分の今後のためにしたいと思いデータを抜いてしまった」と認めている。18年5月末に退職を申し出た男の貸与パソコンを調べたところ、不正アクセスが発覚。7月末に懲戒解雇され、別の医療機器メーカーへ再就職した

日経新聞記事より引用)

 

■公式発表 当社元従業員の不正行為について(お詫びとご説明)

 

◆キタきつねの所感

各社新聞記事を元に事件の時系列をまとめてみると、瀬戸際でデータ漏洩を防いだ事がわかります。推測になりますが、7月に転職を決めた元従業員は5月の時点では既に他社の選考を受けていたから、こうした時系列になるのかと思います。

日時 出来事
2018年5月~6月 元従業員が約2万件の情報を不正にUSBに複製
(遺伝子検査装置の実験データ16件、京都大学医学部付属病院から提供を受けた遺伝子検査データを含む)
2018年6月6日 元従業員が会員リストを自分宛にメール送付
2018年7月下旬 元従業員が退職を申し出る
  パソコン端末の内部調の結果、機密情報の不正持ち出しが発覚。
2018年7月31日 元従業員を懲戒解雇
  元従業員は別の医療機器メーカーへ再就職
2018年11月 不正競争防止法違反容疑で元従業員を刑事告訴
2019年3月7日 元従業員が書類送検

 

一方で、重要データを2万件もダウンロードされていて、会社側が気づかなかったのは何故なのだろうか?という疑問が出てきます。各社の記事を調べてみると、どうやら元従業員はサーバへの正規アクセス権が付与された者であった事が分かります。

府警上京署によると、男は遺伝子検査の研究開発チームの班長を務め転職の際、自分の今後のためにしたいと思いデータを抜いてしまった」と認めている。18年5月末に退職を申し出た男の貸与パソコンを調べたところ、不正アクセスが発覚。

日経新聞記事より引用)

 

アークレイなどの説明では、30代の元社員が昨年5~6月ごろ、同社のサーバーで管理されていた約2万件の情報を貸与パソコンでダウンロードし、不正にUSBメモリーに複製するなどして社外に持ち出し、私有パソコンに保存した。元社員は、遺伝子解析装置の製品研究や販売促進などを担当。7月下旬での退職を申し出たため、同社が、貸与パソコンを調べたところ、データの不正持ち出しが発覚した。

京都新聞記事より引用)

 

漏洩したデータと見比べてみても、個々のデータの機密度がどうであったかは分かりませんが、役職から推測すると、元従業員が常務上の理由でアクセスできても不思議では無い分野の情報であった事が伺えます。

 

2.持ち出しが確認されている情報項目

・患者情報 885名分
 医療機関から提供を受けた患者氏名、施設名、検査データ など

・当社顧客および当社実施アンケート回答者など(主に医療従事者)の個人情報 2,603名分
 所属・氏名・電話番号・メールアドレス など

その他当社技術および営業情報 など

公式発表より引用)

 

とは言え、患者情報など機密性が高い(であろう)データも含まれていた事には疑問が残ります。

アークレイによると、遺伝子検査データはがん治療の効果などを調べるためのものだった。個人の特定につながる情報を伏せた上で提供を受ける取り決めになっていたが、持ち出されたデータの中には患者名と検査結果がひも付けられたものもあったという。提供元の医療機関名は明らかにしていない。

京都新聞記事より引用)

 

男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。

日経新聞記事より引用)

京都大学病院から提供を受けた(がん)患者データが含まれていますので、データを使う役職とは思えない、元容疑者(製品研究・販売促進)に対してアクセス権の付与範囲が広すぎた可能性は高いと思います。

権限が正規に付与されていたのだとすれば、会社側が退職前以外で不正を検知できた可能性としては、アクセス(ダウンロード)したデータ量ではないかと思います。

 

漏洩したデータが約2万件である事から、

 

 ①患者情報885件 ②顧客等の個人情報2603件、③技術情報と営業情報(残り)

 

単純計算で言えば、③は1.6万件になります。秘匿性の高い個人情報に隠れていますが、技術情報と営業情報・・・相当量の会社の秘匿にすべきデータが持ち出された点は、同社の管理体制の甘さと言っても過言ではないのではないでしょうか?

 

また、原因部分で言えば、USBメモリにデータをコピーできた部分も、どうぞ持ち出してください・・・とまでは考えてないと思いますが、今回の内部不正に繋がったことは間違いないかと思います。

 

参考:不正のトライアングル(動機・機会・正当化)

人はなぜ内部不正を行うのか? (1/3) - ITmedia エンタープライズ

 

今回の事件では、データの外部漏洩は”無い”との調査結果になっていますが、データを消去した元従業員の私物パソコン以外に、USBメモリ経由で他PC、クラウドにデータをバックアップしていた可能性も有り得るのではないでしょうか?

また、日経記事によれば、元従業員は、懲戒解雇後に競合他社へ転職してしまっている事が伺え、手土産に内部データが渡った・・という可能性も0では無い気がします。

 

今回の事件とは直接関係無いと思いますが、アークレイ社は、iPS細胞の研究などで京都大学ともつながりがある様です。漏洩した情報の中に、iPS関連のデータが含まれていたとすれば、事件の影響範囲はこの程度で収まらず国境を越えてデータ(技術)が漏洩していた可能性も考えられます。

だからこそ、先端分野の技術を持つ、あるいは先端技術を持つ研究機関との繋がりが強い企業は、もっとセキュリティに対する意識を高める必要があるのではないでしょうか。

 

 

参考:

www.nikkei.com

news.mynavi.jp

ç ç©¶ãä¸æãè¡ããªã人ã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

更新履歴

  • 2019年3月17日AM(予約投稿)