「まるでフィクション？」 内部不正の新しいカタチを直近の事例で振り返る

「北朝鮮IT労働者に関する企業等に対する注意喚起」の公表（出典：経済産業省が公開した資料）

　企業を狙うサイバー脅威はランサムウェアを含むマルウェアや脆弱（ぜいじゃく）性といった外部からのものだけではありません。従業員などがシステムに対し不正にアクセスしたり、破壊したり、情報を持ち出したりする「内部不正」についても、私たちは想定しておく必要があります。

　これまで内部不正については、「共有ID／パスワードを悪用してシステムを操作しデータを盗み出す」ことや「退職したにもかかわらずIDが有効のままで、それを使いシステムを破壊する」こと、「業務外でVPNに接続して不正アクセスを実行する」といったケースが想定されていたと思います。解雇を告げられた腹いせにシステムを破壊したり、同業他社への転職の前に、顧客情報を不正に盗んで手土産に持っていったりという報道は、海外だけでなく日本でもよく聞くようになってしまいました。

　しかしこの内部不正について、最近になって少し違った角度からも考えなくてはならないと感じる事件が発生しました。今回は内部不正という行為を想像するためにも、2つの事件をピックアップしたいと思います。

●もし同じ立場なら胃が痛い……　やむにやまれぬ（？）不正アクセス事案

　1つ目は、あるやむにやまれぬ（？）事情から不正アクセスを実行していたといういつの時代でもありそうな事件です。先日、福岡県の芦屋町の町役所職員が懲戒処分を受けたという発表がありました。

　発表によると、懲戒処分を受けた職員は、本来送付しなければならない国民年金保険税の更正通知書の送付を“失念”しており、その未送付が発覚することを隠すために「システムに不正アクセスし、納期限を勝手に変更した」とされています。

　この事件を取り上げたのは、処分を受けた職員を責めようというもちろん意図はなく、もし同じ問題が皆さんの組織で起きた場合、しっかりと事態を把握できるかどうかを考えてほしいからです。

　従業員に対する仕事のフォローというのは組織ごとにそれぞれのスタイルがあるはずですが、その際に万が一「システムに不正アクセスして期限を勝手に変更した」ということがあったとしても、それを検知する仕組みを持っていなければならない時代になったと感じています。

　そもそもの話をすると、一従業員が重要なデータを操作できてしまうこと自体も問題です。もし全てのIDに管理者権限相当の資格が与えられていると、このような不正行為を引き起こす要因になります。もしかすると、どこかのタイミングで本来は操作すべきではない情報を変更できてしまったことを知ったことが、大きな不正につながったのかもしれません。この意味でも、IDの権限管理の重要性がうかがえるのではないかと思います。