ほとんどの従業員は、フィッシング詐欺のせいで給料日が延期されたことを朝から知るとは思っていません。CFOが会社のパソコンで副業をしているとか、従業員が勤務時間中に出会い系サイトを利用していたために会社の認証情報がダークウェブ上に流出しているとは、おそらく誰も想像できないでしょう。インターネットの速度が遅いのは驚くことではありませんが、従業員の「アダルト向け」ウェブカメラショーで帯域幅が浪費されていると知ると、さらに不安になります。ITセキュリティ専門家の世界へようこそ。
こうした話は、ITセキュリティ専門家にとって驚くほどありふれたものと言えるでしょう。実際、社内外からのサイバーセキュリティの脅威は甚大化しており、サイバーセキュリティはIT業界において独自の存在感を持つようになりました。そのため、サイバーセキュリティ専門家の需要は飛躍的に高まっています。サイバーセキュリティに関する無料のキャリア・人材リソースであるCyberSeekのデータによると、米国だけでも「2017年4月から2018年3月までの12ヶ月間に、民間部門と公共部門で301,873件のサイバーセキュリティ関連の求人があった」とのことです。これからご紹介するような、企業におけるサイバーセキュリティの恐怖体験こそが、その大きな理由と言えるでしょう。
企業サーバーでアダルト番組をホストする
IT業界では不適切なオンライン行動が主な問題となっているようですが、多くの場合、それはハッカーではなく社内の従業員によって行われています。ニューヨークに拠点を置くマネージドサービスプロバイダー(MSP)Brainlinkの創業者であるRaj Goel氏は、20年以上にわたるIT業界でのキャリアで、あらゆる事例を見てきたと思っていました。しかし、最近発生したある事件は、彼が想像もしていなかったものでした。
顧客の CFO は、アップグレードに費用をかけたにもかかわらず、IT 部門の帯域幅が常に不足している理由を調べるために Brainlink に連絡しました。
「彼らはいわゆる『太いパイプ』を持っていたんです」とゴエルは言う。「でもどういうわけか、彼らのIT担当者は『パイプがいっぱいだ』と言い続けていたんです。それで調べてみたら、同じIT担当者の一人が会社のネットワークを使ってウェブカメラのペイパービューサイトを運営していたんです。ポルノサイトで、どうやら彼のガールフレンドとその友人が出演していたらしいんです」
さらに衝撃的なのは、この従業員の行為により会社が 18 万ドル以上の損害を被り、ネットワークが低速だったため 3 か月ごとにアップグレードする必要があったにもかかわらず、この状況が 2 年以上も続いて、誰も気づかなかったことです。
それで調べてみたら、同じIT担当者の一人が会社のネットワークからウェブカメラのペイパービューサイトを運営していたんです。ポルノサイトで、どうやら彼のガールフレンドとその友達が出演していたらしいんです。」
「ここでの教訓は、CFOがもっと積極的に行動すべきだったということです。彼はIT部門に問い合わせましたが、IT部門は彼の質問に全く答えてくれませんでした」とゴエル氏は言います。「ここでの教訓は、たとえ社内にITチームやMSPがあったとしても、(ある時点で)第三者機関に独立した監査や評価を依頼することが重要だということです。ROIが達成されていること、そして全員が自分の仕事をきちんと行っていることを確認する必要があります。」
CFOの副業
ゴエル氏はまた、ヘルスケア企業がコンプライアンスとセキュリティのチェックのために彼に電話をかけ、その最高財務責任者が彼のオフィスとは全く別の会社を経営していたことが判明した事件を思い出した。
「私は彼に尋ね、毎日リモート接続へのログオンを目にしていると伝えました。彼はそれを聞いた途端、愕然とした表情になりました…私が話した時は、心臓発作を起こすかと思いました。最初は何も言わなかったのですが、その後、自分のビジネスのために副業をしていると認めました」とゴエル氏は言います。
ゴーエル氏は、幹部が会社のリソースを使用していなかったと指摘する一方で、従業員は自宅のパソコンにリモートログインして、勤務時間中に半日を私的な輸出入業務に費やしていたと指摘する。ゴーエル氏と彼のチームは、ネットワークのファイアウォールトラフィックを調査することでこの事実を突き止めた。当初、ゴーエル氏は問題はオフサイトのデータセンターに起因しているのではないかと考えていた。しかし、CFOに相談した際、予想外の反応が返ってきた。
「私は彼に尋ね、毎日リモート接続へのログオンを目にしていると伝えました。彼はそれを聞いた途端、愕然とした表情になりました…私が話した時は、心臓発作を起こすかと思いました。最初は何も言わなかったのですが、その後、自分のビジネスのために副業をしていると認めました」とゴエル氏は言います。
フィッシング詐欺で給料日が延期
企業は、侵害が発生したことに気づかないことがあります。また、侵害を発見した後でも、必ずしも必要なセキュリティ対策を講じているとは限りません。
「外部からの侵害が広く報道されれば評判が損なわれる可能性があり、その後クライアントがセキュリティ管理に投資せず、ハッカーが逃げおおせず、依然としてネットワークに侵入し続けていることが判明する」とシカゴに拠点を置くMSP、B Suite Cyber Securityの創業者バート・バルセウィッツ氏はTom's Hardwareに語った。
「もし誰かがルールと認証を設定していたら、情報が変更されたという警告を受け取れたはずです」とバルセヴィッツ氏は言う。「最大の問題は、この事件の後、彼らがサイバーセキュリティソリューションへの投資を望まず、この経験から何も学ばなかったことです。」
バルセヴィッツ氏が以前勤めていた大手製造・流通会社を例に挙げましょう。彼によると、そこでは約10人の従業員がフィッシングメールを受け取り、騙されてOffice 365の認証情報やその他のログイン情報が、何も知らないハッカーに送信されてしまいました。ハッカーはこの情報を使って会社の給与口座に侵入し、全従業員のアカウント情報を書き換えました。当時、会社にはアラートやセキュリティ対策が導入されていなかったため、2週間後、従業員が給与を受け取れなくなった時点でようやく侵害が発覚しました。
「もし誰かがルールと認証を設定していたら、情報が変更されたという警告を受け取れたはずです」とバルセヴィッツ氏は言う。「最大の問題は、この事件の後、彼らがサイバーセキュリティソリューションへの投資を望まず、この経験から何も学ばなかったことです。」
ダークウェブの絶望
バルセヴィッツ氏が複数のクライアントで目にしたもう一つの事例は、従業員が会社のログイン情報(例:職場のメールアドレス)を使って、ソーシャルメディアや出会い系サービスなどの個人ウェブサイトに登録するというものです。勤務時間中にこれらのサイトにアクセスすることは一般的に好ましくありませんが、ユーザーの企業情報が侵害されたサイトで使用され、その認証情報がダークウェブ上に流出してしまうと、セキュリティ上の問題となります。バルセヴィッツ氏は、従業員2,500人のエンジニアリング会社のためにダークウェブ分析を行った際に、まさにこの状況を発見しました。
「彼らは文字通り、ユーザーのオンライン上の行動をすべて記録し、ウェブカメラで監視しており、ビットコインで支払わない場合は、連絡先リストにユーザーの行動をすべて知らせると言っています。」
バルセヴィッツ氏はまた、ハッカーがユーザーのコンピュータを乗っ取り、不適切なオンライン行動を連絡先リスト上の全員に通報すると脅すという、別のダークウェブ詐欺が広まりつつあると指摘している。
「彼らは文字通り、ユーザーのオンライン上の行動をすべて記録し、ウェブカメラで監視しており、ビットコインで支払わない場合は、連絡先リストにユーザーの行動をすべて知らせると言っています。」
バルセヴィッツ氏は、従業員が仕事上の情報を個人的な目的で使用しないようにアドバイスしている。
「誰かがその情報を入手し、ビットコインと引き換えにあなたの情報を人質にするなど、詐欺に使う可能性があります」と彼は言う。
狂気との戦い
セキュリティ専門家の需要が高い理由の一つは、外部からの膨大な脅威と戦うだけでなく、組織内部から発生するリスクも適切に管理しなければならないからです。こうしたリスクは、サーバーやその他のテクノロジーにアクセスできる従業員から発生する場合もあり、従業員が退職した後、特に円満な退職でない場合は、さらに深刻になります。この問題を解決するために、Barcewicz氏は二要素認証の導入やパスワードマネージャーのインストールなどの対策を推奨しています。
「あらゆる企業にとって最低限必要なのは、可能な限り2段階認証を導入し、パスワード管理ツールを使って異なるパスワードを使い分けることです」と彼は言います。「また、(機密性の高いウェブサイトの)パスワードは3~6ヶ月ごとに変更することをお勧めしますが、2段階認証を導入すれば、通常はそれほど頻繁に変更する必要はありません。」
バルセヴィッツ氏は、クライアントに説いていることを実践している。彼はウェブベースのパスワードマネージャーを個人的に使用しており、ログインするウェブサイトごとに異なるパスワードを自動生成する(2段階認証も併用する)。自動生成されたパスワードは侵入が困難だからだとバルセヴィッツ氏は説明する。「ハッカーは常に同じパスワードを探しているわけではありません」と彼は言う。「他のサイトで同じパスワードが頻繁に使われていることを知っているので、そのバリエーションやパターンを解明しようとしているのです。」
Barcewicz 氏と Goel 氏は両者とも、これらの事例から得られる教訓は、企業経営者にとって最善の行動は、自分たちの仕事について理解している第三者の IT セキュリティ評価者を雇うことだ、と述べています。
「どんな企業にとっても最低限必要なのは、可能な場合は2段階パスワード認証を使用し、パスワード管理ツールを使って異なるパスワードを使うことです」と彼は言う。
「適切な評価は決して無駄ではありません」とゴエル氏は言います。「しかし、費用はかかります。無料ツールをダウンロードして、聞きたいことだけを言うような人に頼んではいけません。トラフィックのパターン、データ、ユーザーの行動、その他の重要な領域をきちんと見てくれる人が必要です。」
バルセヴィッツ氏は、変化への抵抗が一部の顧客を適切なサイバーセキュリティへの投資から遠ざけていると付け加える。給与計算がハッキングされた顧客のケースでは、幹部は依然としてサイバーセキュリティへのアプローチの改善を拒否していた。「彼らは仕事のやり方を変えたくなかったのです。金銭的な問題は全く理由ではありませんでした」と彼は言う。「むしろ変化への抵抗こそが、主な動機だったのです。」
あなたにとって最もクレイジーなITセキュリティのエピソードは何ですか? ウェブカメラスキャンダルを超えるエピソードはありますか? ぜひ下のコメント欄で教えてください。
