内部脅威の例:3つの著名事例と4つの予防策 - Exabeam

内部脅威の例:3つの著名事例と4つの予防策

Published
August 10, 2021

Author
Cynthia Gonzalez

内部の脅威とは

内部の脅威とは組織内部を発生源とするセキュリティリスクです。その実行者は組織に在籍中の従業員や役員とは限りません。コンサルタント、元従業員、ビジネスパートナー、取締役会メンバーも内部の脅威となり得ます。

内部の脅威は幅広く、標的となる組織にそれぞれ独自の影響を及ぼします。この記事では内部脅威の代表的実例を考察するとともに、組織の保護に役立てることができるさまざまな手法や技術について説明します。 

この記事では次のトピックを取り上げます。

内部脅威の実例

Waymo

Waymoは自動運転車の開発専門企業で、Googleによって設立されました。2016年に主任エンジニアのAnthony Levandowski氏が同社を退社し、自動運転車両の開発を手掛けるOttoを創業しました。 

Ottoは設立して数か月後に、Uberによって買収されました。買収の主な狙いはLevandowski氏がGoogleから盗んだ企業秘密です。その具体例として、マーケティング情報と走行テストの動画に加え、社外秘のPDF、ソースコードのスニペット、シミュレーション、光センサで距離を感知・測定するLight Identification Detection and Ranging(LIDAR)技術、レーダーの図表と図面が保存されているファイルが挙げられます。

Levandowski氏がGoogleでの勤務に不満を持っていたことが調査で判明。一連の行動を事前に計画していました。2015年にはGoogleを離れることに言及し始めており、起業予定のスタートアップで働くよう複数の同僚を誘っていました。Googleの役員がこうした事実に気付いたのは、UberがOttoの買収に着手したときでした。 

Levandowskiは退社の1月前に、自分のノートブックからGoogleの知的財産が保存されている重要サーバーに接続しました。そして約1万4,000点のファイルをダウンロードし、外付けハードディスクにこれらをコピーしました。行動の痕跡を消すため、すべての情報を削除しました。

Waymoは2009~2015年にかけて技術開発に11億ドルを投じました。同社は企業秘密が盗まれたことを証明し、盗難の補償としてGoogleは2億4,500万ドル相当のUberの株式を受け取りました。さらにUberは盗まれた企業秘密をUberのハードウェアとソフトウェアに使用しないことに同意しました。

関連コンテンツ:悪意のある内部関係者に関する当社ガイドをお読みください。

Capital One

Capital Oneは銀行の持分会社です。同社も第三者ベンダーを発生源とする内部の脅威に直面しました。侵害が発生したときに同社はAmazon Web Service (AWS) のクラウドサービスを使用していました。AWSのある元ソフトウェアエンジニアが自分の発見した脆弱性を使ってCapital Oneをハッキングしました。

このハッカーは発見したウェブアプリケーションファイアウォールの不適切な設定を悪用して、Capital Oneの1億件以上の顧客のアカウントとクレジットカードアプリケーションにアクセスしました。同社は最終的に脆弱性にパッチを適用し、「クレジットカードアカウント番号とログイン資格情報は一切漏洩していない」と発表しました。

Capital Oneのデータにアクセスしたハッカーは成功したと豪語し、オンラインチャットサービスのSlackで同僚にハッキングの手口を教えました。また、実名でGitHubの情報を公開し、ソーシャルメディアで自慢しました。 

心理学者はこの種の内部の脅威行動を「漏洩」と呼びます。計画や行動を「漏らす」ためです。最終的にハッカーは逮捕され、コンピューター詐欺・悪用の罪で起訴されました。不幸にも漏洩によるCapital Oneの損害額は1億5,000万ドルに達すると試算されます。

Boeing

老舗の航空機メーカーBoeingは史上稀に見るほど長期にわたり内部の脅威攻撃にさらされました。1979年から2006年に内部の脅威が発覚するまで、実に30年近く続いたこの攻撃で、侵入者はBoeingとRockwellから情報を盗みました

このケースで内部脅威の実行者はBoeingの従業員でしたが。この従業員の真の雇い主は中国情報機関で、中国の宇宙事業の改善に役立つ情報の取得を命じていました。 

宇宙プログラムの情報に加え、内部の脅威は多数の軍事製品の製造情報も盗みました。盗まれた範囲は今でも不明なままです。

関連コンテンツ: 内部脅威の検知に関する当社ガイドをお読みください。

内部脅威の防止

データ消去の自動化

組織は内部の脅威攻撃を防止するために自動データ消去機能の導入が必要です。従業員が組織を離れたらこの機能を開始します。通常、元従業員のActive Directoryは退社時に削除されます。ただし従業員が自分のデバイスに保存したデータを常に消去するとは限りません。 

従業員はデバイスのデータを使って組織のリソースにアクセスしたり、ビジネス上重要な情報や企業情報を利用したりできます。このプロセスは手動でも可能ですが時間がかかり、その間に内部の脅威攻撃が発生する可能性があります。データ消去プロセスを自動化することで、内部脅威の実行者による企業データへのアクセスを徹底的に防止できます。

他部門とのコラボレーション

自分の役割と責任の履行に必要な範囲を超える特権を従業員に与えないようにするには、組織の各部門が協力し合う必要があります。人事、IT、セキュリティ部門は定期的にミーティングを開催し、組織全体の特権について評価、判断することが望まれます。 

こうすれば従業員が退社したときに人事部門はIT部門とセキュリティチームに知らせて、セキュリティチームは即座に特権を取り消すことができます。人事部門は解雇、人事考課の対象となる従業員、退職願を提出した従業員についてもIT部門に通知して、内部の脅威となるリスクが高い慎重さが要求される立場の従業員を密接に監視できるようにします。

監査、モニタリング、アラート発信

組織の可視性が高いほど、内部脅威者によるエクスプロイトからデータとリソースを保護する態勢がより整うようになります。継続的監視と監査用の実践方法とツールを導入し、リアルタイムに警告する仕組みを追加することで、組織は活動に目を光らせ、侵害に至る前に不審な行動を把握しやすくなります。

監視システムを使用すると、ユーザー行動を分析し、不審な活動を特定して、管理者に警告したり、対応プロセスを開始したりできます。組織は継続的な監査を先見的に実施することで、データの使用方法を把握し、リスクが高まる前に適宜変更を導入できます。

関連コンテンツ:内部脅威の兆候に関する当社ガイドをお読みください。

意識向上トレーニングの実践

内部の脅威は悪質なものばかりとは限りません。実際、従業員の不注意や連絡不備が原因で組織が侵害されるケースは多数あります。こうした内部の脅威は、攻撃者が罠をかける場合も多いのですが、騙されなくても脆弱性が生まれる可能性があります。 

例えば、従業員が未知のソースからファイルをダウンロードした場合、意図せずに脆弱性を導入する恐れがあります。すべての組織が適切なセキュリティ行動に関するポリシーを定めているわけではないため、従業員が脅威に気付かないケースもあります。 

セキュリティ意識向上トレーニングを受講することで、従業員は不本意にも内部の脅威となる事態を回避できます。従業員は知識を得るほど、組織のデータと資産を守る準備が整います。その場合、セキュリティは文化的なコラボレーションとなり、従業員はリスクが侵害に発展する前に、フィッシング詐欺などの脆弱性を特定できるようになる可能性があります。

Exabeamの内部脅威の保護

Exabeam は実装と使用が簡単なSIEMプラットフォームで、Gartner SIEMモデル (改訂後) に基づく次の高度な機能を備えています。

  • Advanced Analyticsとフォレンジック分析機械学習に基づく行動分析を使った脅威の特定ピアとエンティティを動的にグループ化し、不審な個人やラテラルムーブメントを検知します。
  • データエクスプロイト、レポート作成、保持—Data Lakeの先端技術を利用して定額でログデータを無期限に保持します。セキュリティアナリストが必要なデータをすぐ見つけられるようにコンテキストを認識可能な形でログを解析します。
  • 脅威の攻略—脅威を積極的に捜索する機能をアナリストに提供します。ポイント&クリック式脅威の攻略インターフェイスを通じて、SQLやNLP処理が不要な自然言語を使ったルールとクエリの作成を可能にします。
  • インシデント対応とSOC自動化—インシデントに一元的に対応するために、数百のツールからデータを収集し、セキュリティプレイブックからさまざまなタイプのインシデントへの対応を調整・指揮します。Exabeamでは調査、封じ込め、緩和の全ワークフローの自動化が可能です。

Exabeamのユーザーおよびエンティティ行動分析 (UEBA) ソリューションは組織内の異常行動とラテラルムーブメントを検知します。これは内部の脅威を検知するうえでとりわけ重要です。攻撃タイムラインを自動的に作成することで、複数のシステムとユーザーアカウントにわたる内部者活動の検知を迅速化、簡素化します。Exabeam セキュリティ管理プラットフォームの詳細を見る

Recent UEBA Articles

Advanced Analyticsユースケース:侵害された資格情報を見破る

Read More

成果目標を基盤とするユースケース対応:ラテラルムーブメントの解決

Read More

データサイエンスで内部の脅威に対抗

Read More



Recent Information Security Articles

Exabeam、大規模なセキュリティニーズ対応のためクラウド配信のFusion SIEMとFusion XDRを発売

Read More

Advanced Analyticsユースケース:侵害された資格情報を見破る

Read More

成果目標を基盤とするユースケース対応:ラテラルムーブメントの解決

Read More

データサイエンスで内部の脅威に対抗

Read More

UEBAがSolarWindsの侵害事例を検知した方法

Read More

内部脅威の例:3つの著名事例と4つの予防策

Read More