見出し画像

第49話 ドロップボックスからメリカリへの情報漏洩で学ぶこと

吉田 晋 情報処理安全確保支援士(登録025036号)

CIS Controls11はデータのバックアップについて解説されている。

企業の資産やデータを既知の信頼できる状態に回復するために、最近のバックアップやミラーリングの機能を持つことが重要である。ここ数年、ランサムウェアが急激に増加している。ランサムウェアは新しい脅威ではないが、(略)ランサムウェアの進化に伴い、データを暗号化する前に流出させ、攻撃者は企業のデータを復元するための支払いや、データを売却したり公表したりしないように要求する、強要の手法に変化している。この場合、復元はシステムを信頼できる状態に戻し、業務を継続するという問題のみを解決することになる。

CIS Controls 11 Data Recovery

感染させない対策が何より重要

以前のランサムウェアは、ファイルを暗号化してロックするという手口であった。このためバックアップをとることで、感染したあとでも被害を最小化することが出来た。

しかし最近のランサムウェアは、ロックされる前にすでに情報が窃取されている。このためやはりマルウェア対策が重要であるということだ。

もちろんデータのこまめなバックアップは、サイバー攻撃に限らず事業継続のためには重要なことである。

ラック社で起きたバックアップ時の情報漏洩

バックアップで情報漏洩が発生する事案が今週明らかになった。ラック社の情報漏洩だ。

当社より流出した過去の情報について
2022年1月14日 | プレス
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、2021年11月2日、フリーマーケットで販売されていたハードディスクに当社内のビジネス文書が含まれていたことを、社外からの通報により確認いたしました。その後の通報者とのやり取りの結果、12月17日にハードディスクを回収し、流出経路、流出情報の調査並びに情報の拡散が無いことの確認が完了しましたのでお知らせいたします。
(略)
1.情報流出の経緯と概要について
2021年10月31日、フリーマーケットで購入したハードディスクに、当社のビジネス文書が入っていたという匿名の通報があり、その根拠として提供された一部のビジネス文書のスクリーンキャプチャ画像を元に調査を進めた結果、11月2日、当社からの情報流出があったものと判断しました。

その後、通報者とのやり取りの結果、12月17日にハードディスクを回収し、12月19日に流出データ内容の調査を終えました。また並行して、情報の流出元についての社内調査を行った結果、当社の元社員が業務上のビジネス文書を個人所有のハードディスクに保管し、その後ハードディスクをフリーマーケットで売却していたことが判明しました。通報者から回収したハードディスクと、元社員がフリーマーケットで販売したハードディスクの機種、シリアル番号が一致したため、情報流出経路も明らかとなりました。最終的に、流出元となった元社員および通報者の手元にあった流出情報は、第三者へ渡っておらず、全て破棄されたことを確認しました。

2.流出した情報について
今回流出したハードディスクは1台であり、そこから流出が確認できた情報は以下のとおりです。なお、確認されたファイルは、2003年~2017年の間に作成されたものでした。

復元されたビジネス文書   2,069件
うち取引先のビジネス文書  628件 対象となるお取引先へは個別に報告済です
個人情報          最大1,000件
当社社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号 左記以外の個人情報は含まれていません
(略)

いくつかの疑問

今回明らかになったインシデントについては、いくつか疑問に思う点がある。

疑問1 なぜ元社員はドロップボックスを使用したのか。

会社貸与のパソコンを新規端末に入れ替えるケースはどの会社でもあることだ。そしてその場合、データの入れ替え手順はシステム管理者によって用意されているのが通常である。

おそらくこの時のラック社についても、他の社員と同様、この元社員にもいれかえ手段が提供されていたであろう。

しかしその手段を利用せず、当時すでにルールで禁止されていた、ドロップボックスを敢えて使用したのはどういう理由があったのだろうか。

疑問2 なぜドロップボックスの業務データを削除しなかったのか。

当時何らかの理由があり、どうしてもドロップボックスを利用せざるを得なかったとしても、新端末にデータを移行したあとに、なぜ業務データをドロップボックスから削除しなかったのか。

この元社員は、その後自宅のMACとデータを同期させただけでなく、タイムマシンHDDへの同期も実行している。不自然と感じられる点だ。

疑問3 通報者はなぜラック社にコンタクトを取ったのか

メルカリにて購入したHDDを稼働させるためにデータ復元する必要があったと通報者が述べている。もしそれが本当だとしても、(消去済みだった)データが戻ったとしても、それは削除して見ないこととするのが一般的な礼儀であろう。

もし連絡を取るのであるなら、メルカリで購入した相手に対して「データは戻ってしまったが、こちらで消しておきます」という一報であろう。

しかしこの通報者はデータを解析し、それをラック社のものであると判定し、メルカリの出品者ではなく、データの流出元であるラック社に通報している。

疑問4 通報者はなぜ匿名なのか

ラック社はこの通報者と直接コンタクトを取ろうとしたようだが、本人は直接会うことは断り、弁護士を通じての交渉となる。この通報者は最後まで匿名のままだった。

弁護士を間にいれて交渉するということは、費用がかかることであり、通報者は匿名のまま、弁護士を通じて、流出元のラック社にコンタクトを取ったというのは、どのような目的だったのかと勘ぐってしまう。

内部不正の情報漏洩を防ぐために

いくつかの疑問は残るが、重要なことはこのような情報漏洩事案に対してはどのような対策が効果的かということだ。

今回のラック社の事案は内部不正に分類される。たとえ本人が漏洩の意図がなくても、社内ルールを遵守しなかったのが原因であるからだ。
では内部不正を防ぐにはどうしたら良いだろうか。

単純にルールを増やすだけでは逆効果?

実は禁止ルールを増やすほど、ルール無視が発生しやすくなる可能性がある。
それはルール無視には次の原理があるからだ。

ルール無視の原理
1,社員は原則ルールを守ろうとする。ただし
2,そのルールを守ることで業務効率が悪くなるほどそのルールは無視されやすくなる。

板挟みがルール無視生む

本人が漏洩の意図が無い限り、社員は出来るだけ社内ルールは守ろうとする。特に日本人のような真面目な気質の人が多い集団はそうである。

しかし「そのルールを守っているととても仕事が終わらない」という板挟みになった時に、やむなくルール無視を選択せざるを得なくなるのだ。

経営者の判断が内部不正漏洩リスクを抑える

このためもし「ルール無視」が発生した場合、経営者はそこに「社員の板挟み」がなかったかを注意深く検証する必要がある。

・なぜ社員は、ルールを無視してサーバのセキュリティパッチを当てなかったのか。
・なぜ社員は、ルールを無視してUSBメモリで業務データを持ち出し自宅のパソコンで仕事をしたのか。
・なぜ社員は、ルールを無視してドロップボックス経由で自宅パソコンに業務データをコピーしていたのか。

再発防止として、新しい禁止ルールを作ることが、社員の板挟みを更に増長するのであれば、その企業のセキュリティ対策の脆弱さは残ったままとなる。

板挟みがしきい値を越えないように

次のどちらかの対策が、板挟み内部不正を起こさせないために有効だ。

1,セキュリティ対策を施した効率の落ちない手段(要塞化されたパソコンの自宅持ち帰りの許可など)を与えること

または

2,セキュリティを遵守するために業務効率がある程度低下することを容認すること。

まとめ

内部不正を起こさせないためには、ルール遵守と業務効率の板挟みが限界しきい値を越えさせないことが重要。


この記事が気に入ったらサポートをしてみませんか?