大企業の従業員「8人に1人がログイン情報を売却」、正当化する回答も

Malwarebytesは5月12日(米国時間)、「1 in 8 employees have sold company logins or know someone who has｜Malwarebytes」において、大企業に勤める従業員の8人に1人(約13%)がログイン情報を売却した、または売却した人を知っていると報じた。

これは英国の不正防止サービス企業「Cifas」が公開した調査レポート「One in eight workers (13%) admit to selling company logins, Cifas research reveals | Cifas」により明らかになった。調査は英国在住で、従業員数1000人以上の企業に勤める2000人を対象に実施され、2025年に発生した職場不正の実態を分析している。

• 

  認証情報の売却を「無害」と認識する回答も確認された　Photo:PIXTA

「ログイン情報の売却は無害」との認識も

調査によると、約13%の回答者が、社内アクセス用の認証情報を売却した、または売却した人物を知っていると回答した。さらに、認証情報を売却したと回答した人の多くは、その行為を「無害」だと考えていたという。

しかし、企業アカウントの認証情報は、サイバー攻撃の侵入口として悪用される可能性が高い。たとえ後からパスワードを変更したとしても、アカウントの存在や侵入経路そのものを攻撃者に知らせることにつながる。

Malwarebytesは、「アカウント認証情報の売却は無害ではありません。犯罪者はアカウントを乗っ取り、悪用するために、それらを欲しがっています」と指摘し、極めて危険な行為だとして警鐘を鳴らしている。

上級職ほど不正行為を正当化する傾向

調査では、不正行為を「正当化できる」と考える割合が、役職の上昇とともに高くなる傾向も確認された。

企業がセキュリティ対策を強化しても、強い権限を持つ上級職自身が不正行為を容認、または実行してしまえば、被害を防ぐことは難しい。

従業員に厳格なセキュリティルールを求める一方で、経営層が不正行為を軽視していると受け止められれば、従業員のモチベーション低下や組織への不信感につながる可能性もある。

企業認証情報の流出は世界的な課題

Malwarebytesは別の調査として、フォーチュン500企業を対象に認証情報漏洩の実態も分析している。その概要を公開しており、わずか30日間で111社から企業アカウント情報の漏洩を確認したと報告している。

原因としては、フィッシング攻撃、パスワードの使い回し、ブルートフォースアタックなどが挙げられている。今回のような意図的な売却とは性質が異なるものの、企業認証情報の流出が世界規模で拡大している実態を示している。

外部からの攻撃対策だけではなく、内部関係者による情報流出への対策も企業に求められている。特に強い権限を持つアカウントほど被害が深刻化しやすく、ゼロトラストやアクセス監査の重要性が高まっている。