長い間、恐怖物語として片付けられてきた内部不正者からの脅威が、ひっそりと再び公式の懸念リストに浮上してきた。
注目を集めた訴訟、例えばグーグルのウェイモ自動車部門から知的財産を盗んだとされるアンソニー・レヴァンドフスキー氏に対する訴訟や、IBMのソースコードを盗んだとして5年の懲役刑を受けた徐佳強氏に対する訴訟などが、こうした懸念を再び前面に押し出す一因となっている。
米国政府さえも、この件に巻き込まれている。国土安全保障省の職員3人が、省庁職員24万6000人の個人ファイルが入ったコンピューターを盗んだとして告発されたのだ。
長年にわたり、支配的な物語は、データを漏洩または盗難する(2014年に従業員データベース全体を漏洩したモリソンズの従業員)、または単にネットワークを混乱させる(2010年にグッチで大混乱を引き起こした管理者)悪意のある従業員が暴走するというものでした。
組織は今や、外部からの脅威と同じくらい潜在的に悪い脅威となるのは、聞いたことのない静かな悪党たち、いわゆる「脱退者」であることに気づき始めている。
今年初めにCAが発表した調査(PDF)によると、内部脅威の47%は何らかの悪意から生じ、残りは不注意によるものと推定されています。最大の要因は権限の濫用であり、これはまさにプログラマー、管理者、マネージャーが業務を遂行する上で不可欠な要素です。
灰色にフェードアウト
権限の濫用という概念は、いわゆる「グレーハット」と呼ばれる、内部情報を盗み出す特殊なカテゴリーへと繋がります。彼らは、企業の知的財産、資産、そして弱点について深い知識を持ち、その知識の価値を理解する起業家精神を持つエンジニアやプログラマーです。
厳密に言えば、グレーハットハッカーとは、日常業務を利用して悪質な活動を行うブラックハットハッカーのことですが、今月Malwarebytesがスポンサーとなって英国、米国、ドイツ、オーストラリア、シンガポールのセキュリティ専門家900人を対象に行われたオスターマン調査では、企業がその違いを見分けるのは非常に難しいことが判明しました。
勝者には刑務所の夕食会:NSAの情報漏洩者は刑務所で5年の刑に
続きを読む
世界全体では、回答者の4.6%が同僚がグレーゾーンに該当すると考えており、英国では驚くべきことに7.9%にまで上昇しました。これは一見すると不吉な数字のように思えますが、回答者の12%がキャリアの中でブラックハット行為を検討したことがあり、5人に1人以上がそのような行為を依頼されたことがあると答えています。
過去 12 か月間に自社に影響を与えたセキュリティ上の脅威は何かを尋ねたところ、10 人に 1 人近くが意図的な内部者によるデータ侵害を挙げました。
「私たちの調査では、組織の規模が大きくなるにつれて、グレーハットの割合が増加することが明らかになりました。例えば、小規模組織ではITセキュリティ専門家の2.8%がグレーハットですが、中規模組織では4.2%、大規模組織では5.7%に増加します」と、オスターマンの研究者らは記しています。
英国では、特に監視や管理が行き届いていない中規模企業の従業員が、グレーハット活動に巻き込まれても見つからないと考えている人が7%いた。
英国では、「サイバー犯罪者になるよりもサイバー犯罪と戦う方が儲かる」という意見に賛同したのは、わずか10人に1人だった。ダークサイドに転向する動機は金銭だけではない。他にも、ビジネスへの復讐、挑戦、政治的・哲学的な理由など、専門家がダークサイドに転向する理由が挙げられた。
「悪意のある内部者が企業の生産性、収益、知的財産、評判に損害を与える事例が増えている」とマルウェアバイツのCEO、マルチン・クレチンスキー氏は述べた。
懐疑論者は、セキュリティ企業が何年も内部からの脅威について騒ぎ立てていることに気づくだろう。では、従業員がたまに悪事を働くという一般的な観察を超えて、このことが何か立証できるのだろうか?
米国の大手防衛関連企業レイセオンのCEO、トーマス・A・ケネディ氏の異例の警告によれば、今日のグレーハット経済の新たな要因は地政学的な競争だという。
最近のフォーチュンの記事で、ケネディ氏は「収集要件」に注目した。これは、国家が互いの秘密を手に入れるために使用する闇市場で最高値がつく技術IPのカタログを表すのに使われる用語である。
「貴社の従業員の中にそのようなハンドブックを持っている人はいますか?もし彼らが機密データを蓄積したり輸出したりしていたら、手遅れになる前に気づけるでしょうか?」と同氏は書いている。
Fin7の終焉:1500万枚以上のクレジットカードから数百万ドルが盗まれた後、連邦政府がスーパー犯罪容疑者を逮捕
続きを読む
国家が支援する知的財産窃盗はビジネスとなっており、その脅威は外部からだけでなく内部からも発生する可能性がある。
「知識豊富な内部関係者が新世代のハッキングツールを使用すれば、わずか数分でテラバイト単位の貴重な知的財産を盗み出す可能性があります」とケネディ氏は述べた。「ITチームは、ネットワークのどのセクションがアクセス禁止なのかを把握し、不適切なアクセスの試みを監視する必要があります。」
悪意ある内部関係者について報道するのは、もはやジャーナリストやセキュリティ企業だけではありません。CEOたちは、自社の従業員による脅威を世界に発信する必要性を感じています。一見すると奇妙な行為に思えますが、もしかしたらこのメッセージは投資家だけでなく、知的財産の漏洩を企てる可能性のある従業員にも向けられているのかもしれません。
わずか数年の間に、内部脅威はITチームを悩ませる抽象的な脅威から、多くの企業を悩ませ、そして定義づけるほどの大きな脅威へと変化しました。生き残ることができるのは、内部脅威のない企業は従業員がいない企業だけであることを理解している企業です。®
