Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

令和初の3億円事件

考えてみた。 内部犯行

セキュリティの世界では内部からの攻撃(内部犯行)は、件数は少ないけれども成功すると被害額が大きいと言われますが、令和の3.6億円事件はそのリスクをまざまざと見せつけたと言えるかも知れません。

www.fnn.jp

 

◆キタきつねの所感

FNNの記事で実に良い外景写真を使われていたので引用させて頂きますが、ISO9001、ISO27001(ISMS)、ISO14001の国際認証を取得しているとはいえ・・・1人で金庫の現金へアクセスでき、外部に持ち出せた事を考えると、内部犯行に対する備え(インシデント対応計画)は”無い”と言われても仕方がない状態だったのかと思います。

f:id:foxcafelate:20190929205254p:plain

 

ホームページを見ても、事件に対するリリースも出てないのも如何なものかと思いますが、

 

f:id:foxcafelate:20190929205631p:plain

売上金管理については、もう少し体制を考えた方が良いかも知れません。

 

 

会社案内を見ると、、、セコムの100%子会社であったので、

f:id:foxcafelate:20190929205939p:plain

 

親会社のニュースリリースもみて見ましたが、、、特に記載はありませんでした。この辺り、もう少し・・対外公表を考えるべきなのではないでしょうか。

 

結果で言えば、伊藤容疑者は23日間の逃走の末に逮捕され、3.6億円のほぼ全ても無事に見つかったという形で終わった訳ですが、

 

事件の時系列をまとめてみたところ、興味深い点がいくつもありました。

日時 出来事
8月28日頃 【伊藤容疑者】東京・渋谷区内で「私書箱」を開設
9月4日午前中 【伊藤容疑者】アサヒセキュリティ新三郷オフィスの金庫室から現金3.6億円を段ボールに入れて盗む(防犯カメラに映る)
  【伊藤容疑者】会社の配送業者を使って、ほかの商品と一緒に現金3億6,000万円を「私書箱」へ配送し、手ぶらで退社
  【伊藤容疑者】私書箱から盗んだ現金をスーツケースなどに入れ替える
9月5日 【伊藤容疑者】中央区のホテルからリュックを背負い、スーツケース2個を持って出てくる(防犯カメラに映る)
9月6日 【アサヒセキュリティ】2日間無断欠勤した為、同僚が自宅を訪問
  【アサヒセキュリティ】不審に思い、金庫室の防犯カメラを確認し事件が発覚
  【アサヒセキュリティ】県警吉川署に110番通報
9月9日 【埼玉県警】全国に指名手配
9月27日 伊藤容疑者に似た男が渋谷区内にいるとの通報が寄せられる

9月27日

午後1時半頃

【警視庁】JR渋谷駅近くで伊東容疑者を発見し、身柄を確保
  スーツケース1つとリュックサックが渋谷区内のコインロッカーで見つかる
  もう1つのスーツケースが千葉県船橋市のコインロッカーから見つかる

 

まず、セキュリティのプロであるべき、アサヒセキュリティが内部犯行を起こさせる隙があり過ぎた事が浮かび上がってきます。個人的に問題があると思うポイントはいくつもあり、

 ①金庫での1人作業が認められている

 ②監視カメラを普段からアサヒセキュリティは見てない(常時監視してない)

 ③無断欠勤2日経ってから伊藤容疑者を訪問している(この時点ではまだ内部犯行を疑っていない)

 ④業務終了時、あるいは業務開始時に「現金棚卸」できていない

 ⑤犯行の1カ月前にマネージャーに昇格していたが「苦痛な生活から脱却したくて1人でやった」と供述

 

①と②に関して言えば、管理者すら疑え・・という最近のゼロトラストの考え方は皆無ですし、そこを伊藤容疑者が分かっていたから犯行に及んだという事が推測されます。(会社側に隙があったと言えます)

また、③の無断欠勤の時点で、管理者権限を付与している伊藤容疑者の金庫業務レビューを行う手順になっていたら、もっと早く足取りが掴めたかも知れません。

④は体制の問題ですが、銀行や飲食店だったら日時の締め処理で『現金が合わない』事態になったら大問題となりますが、アサヒセキュリティは、常時現金の出し入れがあったにせよ、いくら金庫に現金があるか、少なくても2日以上に渡ってチェックしてない事が時系列上から浮かび上がってきます。

⑤は現金管理部署のマネージャーに昇進していて給与が増えるはずですので、一般的には金銭的動機が薄れると思うのですが・・・あまり目に見えた昇給ではなかったのではないでしょうか?だとすると対価に見合わない仕事内容というのが、犯行動機になってしまっている所がもっとフォーカスが当てられても良い気がします。

 

こんな会社側のザルな状況なら令和初の3億円(以上)事件が発生しても仕方が無いのではないでしょうか。たまたま持ち出された金額のほとんどが回収できたとは言え、すぐ海外まで高飛びされていたら、もっと捕まえるのが大変だったでしょうし、”善意の第三者”にお金が渡っていたら回収も難しかったでしょうから、たまたま被害が少ない状況で逮捕できたという事でしかないかと思います。

 

もう1つ言えるのは、、、伊藤容疑者は会社の監視カメラで犯人特定できるところを今一つ理解してない様に思える所でしょうか。ある意味、会社側の(犯行を思いとどまらせる)教育不足を感じます

 

一方で、警察が最後にタレコミ情報で捕まえた部分に関して、様々な記事を比較すると、東京と千葉で、身分証提示が不要マンガ喫茶や個室DVD店等の宿泊施設を転々としていた事、山手線を乗り継ぎ逃走していたり、移動にタクシーを利用していた事などで、足がつきずらかった様ですが、通達が行きわたりやすいホテルや、鉄道の出改札記録+監視カメラで逃走エリアを絞り込む警察の捜査手法を掻い潜ろうとしていた、容疑者の行動が、20日以上の逃走を許した部分については、考えるべきところがあるのかと思います。

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  

f:id:foxcafelate:20190929205142p:plain


  

更新履歴

  • 2019年9月29日PM(予約投稿)