Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

退職者手続きに必要な「性悪説」思考

つぶやいてみた。

”解雇”(退職)プロセスの不備は自社のビジネスに影響するリスクがある。この事件は改めてその事を示していると言えそうです。

www.bleepingcomputer.com

ニューヨークの信用組合の元従業員であるジュリアナ・バリレは、解雇された後、無断で金融機関のコンピューターシステムにアクセスし、21ギガバイトを超えるデータを破壊したことで有罪を認めました。

「解雇に対する報復として、バリレは以前の雇用主であるニューヨーク信用組合のコンピューターシステムに密かにアクセスし、ファイルサーバーに保持されている住宅ローンの申し込みやその他の機密情報を削除しました」と連邦検事代理のジャックリンM.カスリス氏は語ります

 

元ソース(DoD)

Brooklyn Woman Pleads Guilty to Unauthorized Intrusion into Credit Union’s Computer System

 

 

キタきつねの所感

DoJ(米国司法省)の発表では、ニューヨークの信用組合に5月まで務めていた女性従業員が、解雇後に、無断で信用組合のネットワークに侵入し、21GBを超えるデータを削除した罪で有罪を認めたとあります。

 

内部犯行の一種な気もしますが、セキュリティ対策の分類上では「退職者管理」に当たりそうです。

犯行の動機は”解雇された事への不満”という事になると思いますが、性善説の運用をしている事が多い日本企業・組織には冷や水に感じるところも多いのではないでしょうか。

 

一番「怖い」のは、リモートアクセス(≒テレワーク口)が侵入経路であった事です。そして、データ削除と機密情報の閲覧まで含めた”犯行時間”が40分であった事も注目すべき点と言えるかも知れません。

5月21日、Barileは約40分間ログオンしました。

被告は、その間に20,000を超えるファイルと約3,500のディレクトリを削除し、銀行の共有ドライブに保存されている合計約21.3ギガバイトのデータを削除しました。

ワイプされたファイルには、顧客の住宅ローン申請書と金融機関のランサムウェア対策ソフトウェアに関連するファイルが含まれていました。

Barileは、顧客と会社のデータを含むドキュメントを削除するだけでなく、信用組合の取締役会議事録を含むファイルなど、さまざまな機密のWordドキュメントも開きました。

(Bleeping Computer記事より引用)※機械翻訳

 

残念ながら被害を受けたニューヨークの信用組合(名前は非公開)は、いくつもの点でセキュリティ対策上のミスをしていたと考えられます。

 

最大のミスは、退職者の「アクセス権を削除出来ていなかった」点です。

 

従業員の解雇は2021年5月19日、そして不正アクセスが発生したのは2021年5月21日(2日後)となっており、裁判所の文書を見ると、信用組合側は(権限管理を委託している)情報技術サポート会社に、元従業員のアクセス資格の無効化を依頼した様ですが、”間に合って無かった”様です。

3. 2021年5月19日頃、被告JULIANA BARILEは解雇された。
信用組合から解雇された。信用組合の従業員が、信用組合情報技術サポート会社に、信用組合の情報技術サポート会社に、信用組合のコンピュータシステムへのBARILEのアクセスを無効にするよう要請したが、そのアクセスは無効にされなかった。

裁判所の文章より引用)※機械翻訳

 

休日をまたいでいるのか?とも思ったのですが、5/19(水)⇒5/21日(金)と、平日だった事を考えると、このスピード感の無さ資産管理不備「主原因」だったと言っても過言ではないかと思います。

 

海外企業(日本でも一部の外資系企業)では解雇を含む退職者が発生した際に、俗に「ロックアウト解雇」と言われる手法で、会社が貸与したIDカード、社用携帯、PC、得意先の名刺等の返却を求め、直ちに退社させる(あるいは会議室などに閉じ込める)事が結構あると聞きますが、コロナ禍において、最も警戒すべき「リモートアクセス権限」”直ちに返却(削除)”されるべき資産から漏れていたと推測され、当該信用組合退職ルールの整備が追い付いていなかった様に感じます。

参考:外資系とロックアウト 竹谷総合法律事務所

 

まず権限を取り上げる、この事は「性悪説」ベースのセキュリティ対策の基本であり、少なくても退職日と同日に当該従業員の「リモートアクセス権」は削除、又は無効化されているべきだったと思います。

 

信用組合の情報技術サポート会社が、いつ信用組合から依頼を受けたのか?あるいはいつ資格情報を削除したのか?は資料から読み取れませんが、いずれにせよ「即時」に権限を取り上げられなかった事に関して、信用組合側に監督責任があるのは間違いありません。

 

また、権限削除に失敗していた後のセキュリティ対策にも問題があった様に思えます。共有フォルダのデータを削除する事が、例え一般的な行為であったとしても、21GBを超えるデータ削除を検知出来ていない、あるいは退職者の行動に対する監視がされてなかった(であろう)事から考えると、多層防御(設計)に失敗していた様に思えます。

 

日本でも「性善説」運用の退職者管理がされている所はまだまだ多いかと思いますが、こうしたインシデントを教訓に、自社の多層防御運用を見直すきっかけにして頂ければと思います。

尚、データの削除といった嫌がらせ行為だけでなく、内部からのデータ漏えいという点で、こうした退職者管理の脆弱性は、日本企業・組織にとっても決して対岸の火事ではない」のは、今年1月の下記の事件でも”証明されてしまった”と思っています。

www.itmedia.co.jp

 

余談です。裁判所の資料では当該元従業員はブルックリンに当時在住と書かれていました。

 

本題とは関係ありませんが、最近読んだとある記事でニューヨークの家賃相場が高い事に驚きました。

news.livedoor.com

「マンハッタンで、リビングと寝室という最低限の広さの『ワンベッドルーム』の部屋を借りる場合、月30万円以上の家賃が必要でしょう。さらに、ドアマンがいてセキュリティも堅固な物件では、少なくとも50万円にはなると思います」

 

ニューヨーク・ブルックリンの家賃相場はマンハッタン程ではない様ですが、それでもワンルームで月13万~15万する様ですので、コロナ禍での解雇による金銭的な”損害”を受けての、突発的な犯行だったのかなと想像します。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 恨みのイラスト(女性)

 

更新履歴

  • 2021年9月3日 AM