退職した会社のIDとパスワードを不正に別な会社で使う事件で、不動産コンサルタントが逮捕されたとの報道がされていました。
www.youtube.com
退職した会社のIDやパスワードを使って登記情報に不正にアクセスし情報を得ていたとして、不動産コンサルタントの男が警視庁に逮捕されました。
不正アクセス禁止法違反の疑いで逮捕されたのは、さいたま市の不動産コンサルタント・森下光朗容疑者(44)です。森下容疑者は去年10月、法務省が設置したインターネットの「登記情報提供サービス」に退職した不動産会社のIDやパスワードを使い、6回にわたって不正にアクセスした疑いが持たれています。
警視庁によりますと、森下容疑者は不動産登記など23件の情報を得ていて、直後に会社がおよそ8000円の課金に気づき、発覚したということです。取り調べに対し、「退職した会社から頼まれてやったことだ」と容疑を否認しています。
(TBSニュースより引用)
◆キタきつねの所感
8000円の課金だけで逮捕されTV報道されてしまう時代になってきたのかも知れません。この事件に関しては言えば被害額自体は大した事はありませんが、2つの問題を抱えていそうです。
1つ目は、よくある話。部門共通パスワードです。契約アカウント1つを会社(複数担当)で使い回しする事は、(規約違反かどうかはともかく)多くの企業でやっている事だと思います。勝手に使われていた「登記情報提供サービス」が個別パスワード設定であったら、この問題はおそらく起きて無かったと思います。該当ユーザがいなくなった時点で、後任担当に引き継ぐ(アカウント移動)か、アカウントを停止すると思います。ですが、普段から複数担当が使っている共通パスワードであったが故に、事件発覚が少し遅れたのだと思います。
2つ目は、本日の主題となります。退職者管理に不備があったという点です。
海外(外資系企業)ではロックアウトという手法がとられる場合もあります。突然会議室に呼び出し、人事が解雇予告/退職勧奨し、オフィスに入れなくする(締め出す=ロックアウト)手法ですが、会社から告知を受けた従業員が、データ削除や顧客名簿の持ち出しなどを起こすと問題なので、当該従業員をオフィスに立ち入れない様にするという意図があるそうです。
日本企業はそこまで管理を強めなくても良いかと思いますが、重要な情報資産を持つ施設では、退職者が出た場合、その権限を奪い取る事を徹底しているところもあります。ID証や保険証、ロッカーの鍵など会社側の資産を返却させるのはどこでも実施していますが、重要システムの個別アカウントを「停止」又は「削除」する事を退職日と同日にする事もやっています。
この考え方、今回のケースで考えると、「登記情報提供サービス」の鍵、すなわち共通IDと共通パスワードに当てはめる事が出来たのではないかと思うのです。
被害を受けた会社側は、情報資産の棚卸し、という点で(潜在的)不備があったのだと思います。これを防ぐには、どういった会社の資産を従業員に与えているかを退職時にチェックする、いわゆる退職者チェックリストの充実が必要だと思います。
日本企業の代名詞ともいわれていた終身雇用制度は、日本企業でも徐々に崩れてきているのは間違いなく、そんな中で退職者は、従来以上に頻繁に出てくるのが当たり前になってくるかと思います。そんな中では、退職者をきちんと管理する事が必要になってきているのです。今回はたまたま8000円程度の被害のニュースでしかありませんでしたが、これが更に機微な企業情報であったり、個人情報等であったとしたら、会社へのダメージは図り知れません。
参考:
トヨタ社長が「終身雇用は難しい」と言っても、やっぱり「終身雇用」が必要な理由 (1/4) - ITmedia ビジネスオンライン
そうした意味において、たかが退職者管理ではありますが、されど退職者管理なのだという事も認識した方が良さそうです。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
