「まるでフィクション？」 内部不正の新しいカタチを直近の事例で振り返る

　筆者も新社会人の頃は何度も失敗をした記憶がありますが、それを隠せると知っていたなら、隠蔽（いんぺい）が巡り巡って大きな事件に発展していたかもしれない、と人ごとには思えない内容でした。チェック体制を確立するとともに、システム側でそもそも不正を実行できない、または不正を実行したとしてもすぐに検知できる仕組みを整えることが、インシデントを防ぐ重要なポイントになるはずです。

●あり得ないと思うような“内部不正”も目の前に？

　もう一つの事件は“まさかそんなことが起きるのか”というような新たな内容です。これは海外での事例ですが、KnowBe4が北朝鮮の「フェイクIT労働者」を検知し、不正アクセスが実行される前に防いだという事例が大きな話題になっていました。

　この事件は、KnowBe4がソフトウェアエンジニアを募集した際に、ビデオ会議による面接を4回実施し、しっかりと身元調査をしてから採用したにもかかわらず、そのエンジニアが実際には実在せず、AIで加工した写真／映像、そして盗まれたIDが使われており、入社後に不審な活動が見つかり、端末を隔離したというものです。

　KnowBe4は後日、あらためてこの事件をまとめたホワイトペーパーを公開しました。

　「そんなフィクションみたいなこと、ウチには起こらないよ」と思う方がいるかもしれませんが、実際のところこれは“対岸の火事”ではありません。2024年3月には外務省や警察庁、財務省、経済産業省らが共同で「北朝鮮IT労働者に関する企業等に対する注意喚起」を公開しています。具体的な事件に関しては触れていないものの、日本でもそれなりに現実的な脅威として、既に起きてしまっている事件なのかもしれません。

　この注意喚起では、特徴として「アカウントに長時間ログインしている」「累計作業時間が不自然に長時間」「一般的な相場より安価な報酬」などが挙げられており、一度は目を通しておくことをお勧めします。恐らくそもそもそういった人材は採用しないというのが一つの対策ではあるものの、それを見抜くことは非常に難しいでしょう。そうなると、内部の従業員の働き方をシステム的に監視し、業務時間外に不正な動きが見えたり、業務とは無関係のデータにアクセスしていたりなどの動きを検知できる仕組みが必要となるでしょう。

　かつてベネッセで発生した個人情報流出事件（2014年）を契機に、内部不正対策に向けた動き始めた企業もそれなりにいるはずです。しかし10年前では想像もつかないような事件が日本でも発生していることを考えると、内部不正対策という考え方を大きく広げ、行動の怪しさを検知できる仕組みが求められているのかもしれません。皆さんはこの2つの事件についてどう思ったでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。