｢特権ID｣管理不足がもたらす企業の甚大な被害 事例に学ぶ､組織内外からの攻撃に備える方法

「悪意を持った攻撃者」は、「内部攻撃者」と「外部攻撃者」の主に2つに分類できますが、ここで実際のインシデント事例とともに、それぞれの代表的な攻撃手法を紹介しましょう。

グループ内の派遣社員が、第三者に顧客データを販売

そもそも、組織内部からの攻撃はどのような動機で行われるのでしょうか。主に見られるのは、「待遇への不平・不満」「金銭的な利益追求」「競合企業の関与」「政治的・社会的な目的」「好奇心や技術的挑戦」などでしょう。

悪意を持った内部攻撃者は、データをはじめ企業・組織の貴重な資産にアクセスしようとします。しかし動機があっても、資産にアクセスする手段がなければ始まりません。そこで悪用されるのが、「アクセス権限の必要以上の付与」や「ユーザーIDやパスワードの不適切な管理」など、企業・組織が抱える問題です。後者の「不適切な管理」には、例えば下記のような状態が挙げられます。

・ユーザーIDやパスワードがメモ帳や共有ファイルに記録されており、誰もが閲覧できてしまう。
・高い権限を持つIDとそのパスワードについて、それらを利用する際の承認プロセスが欠如している。
・高い権限を持つ共有型「特権アカウント」について、パスワードが使い回しされていたり、固定化されたりしている。など

では、実際の事例を見てみましょう。

昨年、国内某大手通信事業者のグループ会社で情報漏洩が発生しました。当該グループのB社は、同じグループのA社のシステム運用・保守を行っていました。そのB社の派遣社員が、A社の顧客データ約900万件を長期にわたって不正に入手し、第三者に販売していたことがわかったのです。

当該派遣社員は、システム保守者とリモート業務者に許可されていたリモートアクセスを経由して対象のシステムに接続し、「システム管理者アカウント」と呼ばれる共有型特権アカウントの1つを悪用して、システムに保管されたデータを入手していたようです。当初A・B両社が、本インシデントについて顧客に対して虚偽の報告を行っていたこともあり、この事案は大きな問題として取り上げられました。

本事例の根本原因はいくつかあると思われますが、中でも次の3つは影響が大きいと推察されます。1つ目は、「特権アカウントの利用者が固定化されており、その利用にあたっての承認プロセスが存在していなかった」こと。2つ目は、「特権アカウントの利用履歴を監査するプロセスが確立されていなかった」こと。最後に、「特権アカウントの利用者が、リモートアクセスのIDやパスワードの運用・保守も担っていたこと」です。