内部脅威の例：3つの著名事例と4つの予防策

内部脅威とは組織内部を発生源とするセキュリティリスクです。その実行者は組織に在籍中の従業員や役員とは限りません。コンサルタント、元従業員、ビジネスパートナー、取締役会メンバーも内部の脅威となり得ます。

内部の脅威は幅広く、標的となる組織にそれぞれ独自の影響を及ぼします。この記事では内部脅威の代表的実例を考察するとともに、組織の保護に役立てることができるさまざまな手法や技術について説明します。

この記事では次のトピックを取り上げます。

• 内部脅威の実例
  • Waymo
  • Capital One
  • Boeing
• 内部脅威の防止
  • データ消去の自動化
  • 他部門とのコラボレーション
  • 監査、モニタリング、アラート発信
  • 意識向上トレーニングの実践

内部脅威の実例

Waymo

WaymoはGoogleによって設立された自動運転車の開発専門企業。
2016年に主任エンジニアのAnthony Levandowski氏が同社を退社し、自動運転車両の開発を手掛けるOttoを創業しました。

Ottoは設立して数か月後に、Uberによって買収され、その主な狙いはLevandowski氏がGoogleから盗んだ企業秘密でした。具体例として、マーケティング情報と走行テストの動画に加え、社外秘のPDF、ソースコードのスニペット、シミュレーション、光センサで距離を感知・測定するLight Identification Detection and Ranging（LIDAR）技術、レーダーの図表と図面が保存されているファイルが挙げられます。

Levandowski氏がGoogleでの勤務に不満を持っており、一連の行動を事前に計画していたことが調査により判明しました。また、2015年にはGoogleを離れることに関して言及し始めており、起業予定のスタートアップで働くよう複数の同僚を誘っていました。Googleの役員がこうした事実に気付いたのは、UberがOttoの買収に着手したときでした。

Levandowski氏は退社の１ヵ月前に、自身のノートブックからGoogleの知的財産が保存されている重要サーバーに接続していたことが判明。約1万4,000点のファイルをダウンロードし、外付けハードディスクにこれらをコピーした後、行動の痕跡を残さないよう、すべての情報を削除しました。

Waymoは2009～2015年にかけて技術開発に11億ドルを投じており、企業秘密が盗まれたことを証明しました。盗難の補償としてGoogleは2億4,500万ドル相当のUber株式を渡すことに合意し、盗まれた企業秘密をUberのハードウェアとソフトウェアに組み込まないことに同意しました。

関連コンテンツ：悪意のある内部関係者に関する当社ガイドをお読みください。

Capital One

Capital Oneは銀行の持分会社であり、第三者ベンダーを発生源とする内部の脅威に直面しました。侵害が発生した際、同社はAmazon Web Service (AWS) のクラウドサービスを使用していて、AWSのある元ソフトウェアエンジニアが自身が発見した脆弱性を使ってCapital Oneをハッキングしました。

このハッカーは発見したウェブアプリケーションファイアウォールの不適切な設定を悪用して、Capital Oneの1億件以上の顧客のアカウントとクレジットカードアプリケーションにアクセスしました。同社は最終的に脆弱性にパッチを適用し、「クレジットカードアカウント番号とログイン資格情報は一切漏洩していない」と発表。

Capital OneのデータにアクセスしたハッカーはオンラインチャットサービスのSlackで同僚にハッキングの手口を共有し、実名でGitHubの情報を公開、ソーシャルメディアでもハッキングに成功したと自慢していたことが判明しました。

内部脅威者は計画や行動を自分から「漏らす」ため、心理学者はこの種の内部脅威行動を「漏洩」と呼びます。最終的にハッカーは逮捕され、コンピューター詐欺・悪用の罪で起訴されました。不幸にも漏洩によるCapital Oneの損害額は1億5,000万ドルに達すると試算されます。

Boeing

老舗の航空機メーカーBoeingは史上稀に見るほど長期にわたり内部の脅威攻撃にさらされました。 攻撃者は1979年から2006年に発覚されるまで、実に30年近くBoeingとRockwellから情報を盗んでいたことがわかりました。内部脅威の実行者はBoeingの従業員でしたが、真の雇い主は中国情報機関であり、中国の宇宙事業の改善に役立つ情報の取得を命じていたことが判明。

宇宙プログラムの情報に加え、多数の軍事製品の製造情報が窃取され、被害の範囲と規模は今でも不明なままです。

関連コンテンツ： 内部脅威の検知に関する当社ガイドをお読みください。

内部不正の対策

データ消去の自動化

組織の内部不正対策として、従業員が退職した際に自動データ消去を開始する必要があります。通常、元従業員のアクティブディレクトリは退社時に削除されますが、従業員が自身のデバイスに保存したデータも消去されるとは限りません。

従業員はデバイスのデータを使って組織のリソースにアクセスしたり、ビジネス上重要な情報や企業情報を利用したりできます。このプロセスは手動でも可能ですが時間がかかり、その間に内部の脅威攻撃が発生する可能性があります。データ消去プロセスを自動化することで、内部脅威の実行者による企業データへのアクセスを徹底的に防止できます。

部門間の連携

従業員の担当範囲を超えた過剰なアクセス権限の付与を回避するには、組織の各部門の連携が必要です。人事、IT、セキュリティ部門は定期的にミーティングを開催し、組織全体の特権について評価、判断することが望まれます。

こうすれば従業員が退社したときに人事部門はIT部門とセキュリティチームに知らせて、セキュリティチームは即座に特権を取り消すことができます。人事部門は解雇、人事考課の対象となる従業員、退職願を提出した従業員についてもIT部門に通知して、内部の脅威となるリスクが高い慎重さが要求される立場の従業員を密接に監視できるようにします。

監査、モニタリング、アラート発信

組織の可視性が高いほど、内部脅威者によるエクスプロイトからデータとリソースを保護する態勢がより整うようになります。継続的監視と監査用の実践方法とツールを導入し、リアルタイムに警告する仕組みを追加することで、組織は活動に目を光らせ、侵害に至る前に不審な行動を把握しやすくなります。

監視システムを使用することで、ユーザー行動を分析し、不審な活動を特定して、管理者に警告したり、対応プロセスを開始したりできます。組織は継続的な監査を先見的に実施することで、データの使用方法を把握し、リスクが高まる前に事前対策が可能になります。                                                関連コンテンツ：内部脅威の兆候に関する当社ガイドをお読みください。

意識向上トレーニングの実践

内部の脅威は悪質なものばかりとは限りません。実際、従業員の不注意や連絡不備が原因で組織が侵害されるケースは多数あります。こうした内部の脅威は、攻撃者が罠をかける場合も多いのですが、騙されなくても脆弱性が生まれる可能性があります。

例えば、従業員が未知のソースからファイルをダウンロードした場合、意図せずに脆弱性を導入する恐れがあります。すべての組織が適切なセキュリティ行動に関するポリシーを定めているわけではないため、従業員が脅威に気付かないケースもあります。

セキュリティ意識向上トレーニングを受講することで、従業員は不本意にも内部の脅威となる事態を回避でき、知識を得るほど組織のデータと資産は守られます。これにより、セキュリティは文化的なコラボレーションとなり、従業員はリスクが侵害に発展する前に、フィッシング詐欺などの脆弱性を特定できるようになります。

Exabeamの内部脅威の保護

Exabeam は実装と使用が簡単なSIEMプラットフォームであり、Gartner SIEMモデル (改訂後) に基づく次の高度な機能を備えています。

• Advanced Analyticsとフォレンジック分析—機械学習に基づく行動分析を使った脅威の特定ピアとエンティティを動的にグループ化し、不審な個人やラテラルムーブメントを検知します。
• データエクスプロイト、レポート作成とリテンション—Data Lakeの先端技術を利用して定額でログデータを無期限に保持します。セキュリティアナリストが必要なデータをすぐ見つけられるようにコンテキストを認識可能な形でログを解析します。
• 脅威ハンティング—脅威を積極的に捜索する機能をアナリストに提供します。ポイント＆クリック式脅威ハンティングインターフェイスを通じて、SQLやNLP処理が不要な自然言語を使ったルールとクエリの作成を可能にします。
• インシデント対応とSOC自動化—インシデントに一元的に対応するために、数百のツールからデータを収集し、セキュリティプレイブックからさまざまなタイプのインシデントへの対応を調整・指揮します。Exabeamでは調査、封じ込め、緩和の全ワークフローの自動化が可能です。
  

Exabeamのユーザーおよびエンティティ行動分析 (UEBA) ソリューションは組織内の異常行動とラテラルムーブメントを検知します。これは内部の脅威を検知するうえでとりわけ重要です。攻撃タイムラインを自動的に生成することで、複数のシステムとユーザーアカウントにわたる内部者活動の検知を迅速化、簡素化します。

Exabeam セキュリティ管理プラットフォームの詳細はこちら。