ランサムウェア｢手当たり次第の攻撃｣への備え方 業務委託や社員からの情報漏洩も後を絶たない

まず多くの被害例で、VPN（仮想専用通信網）機器の脆弱性が狙われているため、VPN機器の脆弱性対策が優先度の高い対策となる。

VPN機器の保守業者とコミュニケーションを取って、脆弱性対応が契約範囲に含まれているか、適時に対応されるかを確認して、問題があれば契約を見直すとよいだろう。

もう1つの経路は、メールの添付ファイルによるウイルス配布である。通常、メールを受信しただけで感染することはないが、添付ファイルを開くとウイルス感染してしまう。

こちらは従来型のウイルス対策ソフトだけでは十分な対策とは言えず、EDRという侵入を事後検知するタイプのセキュリティ製品が有効だ。

ただし、EDRの導入と運用には費用がかかるため、EDRの導入が難しい場合は、社員に対するメールの添付ファイルを安易に開かないなどの教育の徹底から始めるとよいだろう。

ベネッセ事件の教訓から得られること

2023年10月17日、NTTビジネスソリューションズは、元派遣社員が顧客情報を不正に持ち出していたことを発表した。

元派遣社員は、2013年から同社がシステム運用を担当するコールセンターシステムにある顧客情報を継続的に持ち出していたと見られる。このシステムの運用保守を担当していたのが、元派遣社員だった。持ち出された個人情報は約928万件と発表されている。

こうした大量の個人情報を扱うシステムの保守を担当するエンジニアが、個人情報を持ち出す事件は初めてのことではない。

2014年7月9日、通信教育大手のベネッセコーポレーションは、同社が保管する個人情報が最大約2070万件漏洩したと発表した（以下、ベネッセ事件）。7月17日には、同社システムの保守を担当する派遣社員のエンジニアが逮捕された。

この2つの事件は類似性が高いが、仔細に見ていくともともとの管理レベルに違いがあったことがわかる。

ベネッセ事件では、SEが利用するパソコンはシステム的にUSBメモリーの利用が制限されていたが、元SEがスマホを充電するためパソコンにUSB接続したところ、偶然にもデータをスマホにコピーできることに気づき、情報を持ち出すのに使った。

一方、NTTビジネスソリューションズが保守を担当していたコールセンターシステムでは、容疑者はUSBメモリーを用いて情報を持ち出したとされていることから、USBメモリーの利用は制限されていなかったとみられる。

ベネッセ事件は個人情報漏洩事件として有名なので、企業のセキュリティ施策を検討するうえで参考にする場合が多いのだが、残念ながらベネッセ事件の教訓が生かされていなかったと言わざるをえない。