Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ドロップボックスは58歳の女性でも破壊できる

内部犯行によって不動産マーケティング会社が経営破綻した記事が出ていました。

hotforsecurity.bitdefender.com

 

元ソース

 

むかしむかし、ブリーはデヴォン南東部に焦点を当てた毎週のプロパティ新聞を生産するプロパティプレスと呼ばれるビジネスのディレクターでした。

ある時点で事態は悪化し、Bulleyは、会社が清算に入る前に、2018年に会社の辞任をしました。しかし、同僚のディレクターであるアランマリオットは、ブリーの関与なしに、古い会社の資産を使用して新しいビジネスベンチャーを始めました

彼女が事業を辞めた後、物事は明らかにBulleyとうまくいっていませんでした。辞任してから数か月後、彼女はなんとか新しい会社のDropboxアカウントに不正アクセスできました。

5,000を超えるドキュメントが永久に消去され、会社はビジネスへの損害が大きすぎて運用できなくなり、人々が職を失い、約100,000ポンドが失われたと主張しました。

事業を継続することができず、事業は閉鎖を余儀なくされました

(Hotforsecurity記事より引用)※機械翻訳

 

キタきつねの所感

なかなかドラマチックな会社の浮き沈みですが、事件の背景は以下の様です。

 ①景気の悪くなった会社Aが清算(廃業)しそうになった

 ②会社役員だったBulley(50代女性)が2018年に辞任

 ③同僚役員のアランが、会社の資産を生かしてベンチャー企業Bを立ち上げる

  <Bulleyが新会社B(に自分が誘われななかった事)に恨みを持つ>※推測

 ④Bulleyが新会社BのDropboxアカウントに不正アクセスし、保存されていた5,000以上

  のファイルを意図的に削除

 ⑤新会社Bは事業撤退を余儀なくされた。

  ※10万ポンド(約1,300万円)の損失をもたらす

 ⑥ノースヨークシャ警察サイバー犯罪部隊がフォレンジック調査し、Bulleyを逮捕

 

内部犯行の典型例と言えるかも知れません。記事や警察の発表には書かれていませんが、事件の時系列を書いてみると、③と④が怪しい事が分かります。

 

推測される結論は、Dropboxのアカウントは、会社Aが使っていたアカウントをベンチャー企業Bが立ち上がった際に、そのまま引き継いで使用していたのだと思われます。

新会社Bが上手く軌道に乗っている事を逆恨みしたBulleyは、会社Aで使っていたDropboxアカウントのパスワードが同じ事に気づき、「嫌がらせ」として大量にファイルを削除したと推測されます。

 

この推測が合っているとすると、新会社B(アラン)がセキュリティの基本を抑えてなかった事が、この事件の遠因となったと考えられます。

 

 

それが、退職者管理です。

 

 

Bulleyが退職した時点、遅くても新会社Bを立ち上げた時点で、Dropboxアカウントのパスワード(共通パスワード)を変更するか、Dropboxの2段階認証を導入すべきだったと思います。

これらの対応が仮に難しかったとしても、バックアップが適切に取られていれば、事業撤退までは至らなかったでしょう。そう考えると新会社Bは、セキュリティ対策を取らなかった事が致命的だったと考えても良いかも知れません。

 

ハラスメントなど、退職者に不満な要素が強い場合には、内部犯行が発生するリスクは高くなります。内部犯行は、発生頻度こそサイバー攻撃等に比べて低いのですが、発生した際の影響範囲は、他のリスク要因に比べて大きいと言われています。

 

セキュリティ対策の不備が、結果として事業撤退につながったと考えると、この事件を教訓にすべき企業は、案外多いのではないでしょうか。

 

余談ですが、Bulleyの犯行は警察にすぐに見つかりました。その理由は、Bulleyに紐づいたIPアドレス(生IP)の証跡がすぐに出たからだった様です。

ファイルの削除は出来ても、IPを削除(偽装)するのは苦手だった様です。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ハッカー・ネットワーク犯罪のイラスト(セキュリティー)

 

更新履歴

  • 2020年6月22日 AM(予約投稿)