Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

アシックスの内部犯行事件を考える

名だたる日本企業からも(産業スパイ的な)内部犯行事件が起きた事は、日本の性善説的なセキュリティ思想の限界を改めて感じました。

www.nikkei.com


 

◆キタきつねの所感

既にこの事件は、(勝手に敬愛している)日本を代表するセキュリティリサーチャーであるpiyokango氏がブログで詳細に事件報道をまとめていらっしゃいます。詳しくはそちらを見ていただいた方が早い気がしますが、日本を代表する靴メーカーであるアシックスからライバル企業への内部犯行事件(の可能性がある)という事で、事件内容を少し考えてみたいと思います。

piyolog.hatenadiary.jp

 

まず最初に疑問に思ったのは、アシックスから今回の逮捕に関する公式な発表がされていない様に思える事です。探したのですが見つかりませんでした。テレビ局や日経新聞他のメディアが多数取り上げた内部犯行事件にも関わらず、トップページプレスリリースのページに何も掲載しないのは、上場企業の姿勢としては如何なものかなと思います。

f:id:foxcafelate:20190324175823j:plain

ついでに言えば、元従業員の転職先と報じられた「プーマジャパン」のホームページにも何も情報掲載が無いようです。

つまり、兵庫県警が逮捕情報を発表した3月13日で事件関連情報がほとんど止まっている状況です。色々調べてみたのですが、次報が無いのは、この手の事件としては珍しい気がします。

 

事件に関しては、日経新聞の記事が詳しく書いているので、そちらを引用すると、

同課によると「退職に際して自分の役に立つと思った」と容疑を認めている。アシックスが開発した靴の画像や性能データなど約3万6千のファイルが持ち出されたという。同課は13日、東京都内の現在の勤務先にある石黒容疑者の机を家宅捜索し、パソコンなどを押収。情報が流出していないか詳しく調べる。

逮捕容疑は2018年3月31日~5月9日に3回、アシックスの社内サーバーにアクセスして靴の性能データなどのファイルを社員用メールに添付し、別の個人用アドレスに送信して不正に持ち出した疑い。私物のパソコンからアクセスしていたとみられる。

同課によると、石黒容疑者は14年2月からアシックスの品質管理部に勤務し、性能データの作成や分析に携わっていた。18年3月末に他社への転職が内定した後、同5月末に退社する直前に不審なメールの送受信があることに上司が気付いた

18年7月、同社が「元従業員に営業秘密のデータを持ち出された」と県警に相談した

日経新聞記事より引用)

 

ここを読むとアシックス側のセキュリティ体制に疑問が出る方が多いかも知れません。

 

問題点1 添付ファイルチェックがざる

3.6万件の企業秘密情報の添付ファイルがプライベートメールアドレスに不正送信されて、特に問題が起きていない点については、普段から持ち帰りで仕事をする文化があったのかも知れませんが、アシックスは性善説過ぎる気がします。せめて大量データが添付された、あるいは私的アドレスへのメール送付部分については、何らかの形でチェックできたのではないでしょうか?

 

 

また、元従業員に付与されたアクセス権限については、時事の報道に書かれていたので、こちらを引用しますと、

同課によると、情報内容はシューズの品質や性能データなど約3万6000ファイル。秘密情報は限られた社員しかアクセスできないが、同容疑者は当時、同社品質管理部で勤務しており、付与されたIDとパスワードを利用していた

JIJI.com記事より引用)

 

3.6万件を3回に分けてアクセス(ダウンロード)している部分について、もしかすると検知できたかも知れませんが、品質管理という事なので、ここは業務上必要な権限の範疇として見過ごされていたとしても仕方が無い気がします。

 

毎日新聞の記事を見ると、元従業員の不正をアシックス側が検知した部分に関して、日経新聞他と違った内容が書かれています

県警によると、石黒容疑者は2014年にアシックスに入社し、昨年5月まで品質管理部でシューズの性能データを作成・分析する担当者だった。翌月に同業他社に転職し、同様の部署で働いていたという。

 昨年7月にサーバーのアクセス履歴を調べたアシックス関係者がデータの持ち出しを発見し、県警に相談していた。

毎日新聞記事より引用)

 

改めて日経新聞の記事を見ると、浮き上がってくるのが・・・

18年3月末に他社への転職が内定した後、同5月末に退社する直前に不審なメールの送受信があることに上司が気付いた

日経新聞記事より引用)

 

問題点2 元社員の上司は何の役にも立っていない

5月末に不審なメール送受信がある事に上司は気づいていながら、元従業員は他社に転職を(円満に)してしまっています。もしかすると、7月のサーバアクセスを調べるインプット情報になったのかも知れませんが、2ヶ月間を要したというのは・・・IT部門の調査期間として長すぎる気がします。(※想像を多分に含む私感です)そう考えると、言葉が乱暴かも知れませんが、上司が気づいた事は(社内連携されず)、内部犯行の詳細調査にほとんど役立ってなかったと言えるのではないでしょうか?

 

アシックスは、CSIRTを持つ企業でもありますので、どこかの場(出来ればオープンなセミナー等が良いのですが・・)で今回の事件対応、再発防止対策について、他企業の参考になると思いますので、説明がされると良いなと思います。

f:id:foxcafelate:20190324184729j:plain

 

 

 ã¹ãã¼ã«ã¼ã®ã¤ã©ã¹ãï¼é´ï¼

 

更新履歴

  • 2019年3月24日PM(予約投稿)