最近頻繁に目にするニュースから、サイバーセキュリティに高い関心を持っている人でも、外部からの脅威がすべての問題の根源だと思ってしまうかもしれません。

国家を後ろ盾にしたハッカーがMicrosoftを標的にしたり、医療機関がランサムウェア攻撃を受けたりと、私たちのビジネスや生活基盤がサイバー攻撃を受けていることは間違いありません。

しかし、サイバー犯罪グループや、国家を後ろ盾にした攻撃グループによるインシデントは、問題の一部に過ぎません。

実際には、ほとんどの企業が内部脅威によって被害を受けている可能性が高いのです。プルーフポイントが実施した2022年の調査では、67%の企業が年間21件から40件以上の内部関係者によるインシデントを経験していることが判明しました。このデータポイントは、2018年の53%、2020年の60%と比べ、着実に増加しています。現在、企業は内部脅威の解決に毎年平均1,538万ドルを費やしています。

内部からの情報漏えいは、従業員の不注意に加え、時として悪意をもっての犯行だったり、あるいは脅迫によるものだったりしますが、いずれの場合も内部関係者が企業内部のデータにアクセスし、それを持ち出してしまいます。このような状況では、外部からの攻撃だけを防御しようとしても無意味です。はるかに多くの情報漏えいは、外部からではなく内部から発生しているのです。

あなたのビジネスにリスクをもたらす人々

日本のセキュリティ担当者の34%(世界平均:46%)は、2023年に重大なデータ損失に対処したと回答しています。

今日、機密情報や重要な認証情報が従来のセキュリティ防御壁を越えて、外部へと持ち出されています。こうした特別なデータの大部分は、組織の従業員、いわゆる「内部関係者」によって持ち出されることがほとんどです。

内部脅威は、以下の3つのカテゴリーに分類できます。それぞれにかかるコスト(損失も含む)を見ていきましょう。

(1)不注意または過失を犯す内部関係者による脅威

3つのカテゴリーにおけるインシデント1件当たりの平均年間コスト 引用:内部脅威による損失グローバルレポート2022

不注意または過失を犯す内部関係者は、最高情報セキュリティ責任者(CISO)にとって最大の懸念事項であり、世界のCISOのほぼ4分の3(74%)が内部関係者による不注意や過失による情報漏えいを最大の脆弱性とみなしています。

CISOが心配するのも当然で、過失や不注意による情報漏えいが内部脅威の主な原因となっており、プルーフポイントのデータによると、インシデント1件あたり平均約7273万円(48万4931ドル)もの修復コストを企業にもたらしています。

残念ながら、こうした内部関係者は悪意がないため、検知が非常に困難です。ほとんどの場合、この問題は、脆弱な認証システムや悪意のあるリンクや添付ファイルへの不用意なクリックなど、セキュリティ対策の不備によって発生します。

彼らのミスは些細なものですが、その影響は甚大なものになりかねません。2023年2月には、イギリスの国民保険サービスであるNHSが、職員の1人から送られたメールの添付ファイルをきっかけとして、1万4,000人の職員の個人情報が流出したと報告しました。添付されたExcel文書には、職員の氏名、生年月日、給与が記載された非表示のタブが含まれていました。

(2)悪意のあるまたは犯罪に関与する内部関係者による脅威

悪意のある内部関係者または犯罪に関与する内部関係者は、およそ4分の1(26%)のインシデントに関与しており、企業は1件あたり平均約9720万円(64万8000ドル)の損失を被っています。悪意のある内部関係者は特権的なネットワークアクセス権限を悪用して、その痕跡を隠蔽する可能性があるため、こうした関係者に対する防御はさらに困難です。

このカテゴリーに属する内部関係者の行為には、さまざまな形態があります。サイバー犯罪者から金銭的な誘因を受けてデータを盗んだり流出させたりする場合もあれば、個人的な理由で企業に対する不満や悪意から行動を起こす場合もあります。

しかし、主な原因の一つは退職者です。プルーフポイントのデータによると、2023年にデータ損失を経験した日本のCISOは43%(世界平均:46%)で、そのうち71%(世界平均:73%)が退職した従業員が損失の原因になったと考えています。ファイルの不正流出の87%は退職した従業員によって引き起こされている可能性があることも判明していることからも、このCISOの評価の正しさは裏付けられています。

とはいえ、悪意のある行動と金銭的利益目的の行動を完全に無視することはできません。2021年、ニューヨークに拠点を置くテクノロジー企業Ubiquitiのシニア開発者が自宅のネットワークにギガバイト単位のデータを転送し、匿名のハッカーを装ってそのデータの返却のために身代金を会社に要求するというインシデントが起こりました。彼の計画は失敗しましたが、Ubiquitiの時価総額は40億ドルの打撃を受けました。

(3)不正にアクセスされた内部関係者のアカウントよる脅威

分析された6803件の攻撃の分類 引用:内部脅威による損失グローバルレポート2022

不正にアクセスされた内部関係者のアカウントよる脅威は、最も発生率が低いものの(インシデント全体の18%)、窃取された認証情報(アカウント侵害)によるインシデントは1件あたり平均約1万2,075万円(80万4,997ドル)という最も高額な被害をもたらします。これは、サイバー犯罪者がソーシャルエンジニアリングやデータ侵害を通じて正規のユーザーアカウントにアクセスした場合に発生します。

ほとんどの場合、正規のアカウントの窃取はメール攻撃によって行われ、被害者は知らず知らずのうちにパスワードやログイン情報の入力や共有を促されます。メールにアクセスできれば、ファイルフォルダや共有サーバにもアクセスができます。

通常、このような不正アクセスはフィッシング攻撃によって引き起こされ、攻撃者は認証情報を窃取すると、企業のネットワークに自由にアクセスし、権限を昇格させ、ペイロード(追加の攻撃ツール)をダウンロードして装備し、データを盗みだすことができます。

最も懸念されるのは、たった一人のユーザーアカウントへの侵害により、組織全体のデータが危険にさらされる可能性があるということです。2021年、パスワード管理会社LastPassがデータ漏えいの被害に遭いました。攻撃者が、同社エンジニアの自宅のPCをハッキングし、ネットワークにアクセスしたことが原因でした。

攻撃者は、2カ月間にわたって気づかれることなく準備を進めた後、同社のAmazon S3バケット内のストレージボリュームにアクセスし、暗号を解読することができました。その後、顧客の保管庫データを含む幅広いファイルのエクスポートに成功したのです。

内側から守るための対策

内部関係者の動機が攻撃者の手法に影響を与えるのと同様に、内部関係者の各カテゴリーに合わせた防御策が必要です。例えば、悪意のある内部関係者は、過失を防ぐために導入されたあらゆる制御を無視し、それを回避することもできます。

しかし、いかなる場合でも可視化と認識が鍵となります。まず、自社にとって最もリスクの高い人物を特定することから始めます。 これには、特権レベルが高く、機密データへのアクセス権限を持つ人物、サイバーセキュリティのトレーニングで不合格または成績が低かった人物、自社に対して懲戒処分や苦情の申し立てを行った経歴を持つ人物などが含まれます。

これらのユーザーが特定できれば、最も必要な場所にセキュリティコントロールを配置することができます。例えば、ソーシャルエンジニアリングの罠が受信トレイに届く前にブロックする高度なメールフィルタリングや、不正なファイル転送やリスクの高いキーワードを検出するAI搭載のツールなどが考えられます。

どのような保護策を講じたとしても、セキュリティに対する意識が土台となります。ほとんどの場合、不注意でセキュリティを侵害した内部関係者は、自らの脆弱性に気づいていません。転職の際に、次の会社へデータを持ち出す人は道徳的な問題を理解していても、関連するリスクには気づいていないことがあります。

包括的なセキュリティ教育プログラムを導入し、従業員一人一人に自らの責任を再認識してもらう必要があります。意識が高まれば行動は変わります。そして、人が関わる限り、行動の変化はツールやテクノロジーと同様に強力なサイバー防御となります。

増田 幸美

増田 幸美

そうた ゆきみ

日本プルーフポイント株式会社 チーフ エバンジェリスト。
早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023、Top Cybersecurity Woman of the World 2024受賞。

この著者の記事一覧はこちら