セキュリティの
学び場

今回の解説ニュース

取引先による顧客情報の不正な入手と利用が判明したということです。入手した顧客情報の利用や内部犯行で気を付けるべきポイントについて説明します。

取引先がホームページのチャットサポートを悪用して顧客に成りすまし、顧客情報を不正に入手したということです。入手した顧客情報は営業活動や、顧客の同意なく契約の切り替えに利用しようとしたことが、顧客の問い合わせから判明しました。

被害を受けた企業は再発防止策として、チャットサポートのシステムに制限を設定することで、不正に顧客情報が取得できないようにしたということです。また、不正に取得された顧客情報による契約変更は無効とされています。

「内部犯行」－今回のインシデントを解説

チャットサポートをはじめ、顧客情報を大量に扱うシステムでは、他のシステム以上にセキュリティに気を付ける必要があります。具体的に考えられるセキュリティの脅威は「内部犯行」です。

今回は一般的な不正アクセスとは異なり、関係者のみが知りえる情報を悪用したインシデントであると考えられます。具体的には、委託先に与えられた権限を悪用して、チャットサポートから顧客情報を入手したとされています。つまり、脆弱性を悪用してシステムへ侵入したわけではなく、持ち合わせた権限を組み合わせて不正に顧客情報を入手したことが考えられます。今回は委託先による不正ということで、完全な内部犯行ではありませんが、与えられた権限を悪用したという意味では、内部犯行に近いインシデントであると考えられます。

内部犯行による顧客情報の不正利用は不正競争禁止法で訴えられることが多いようです。不正競争禁止法とは1993年に作成された、企業の重要な営業情報などを内部犯行などから保護する法律です。サイバー攻撃は不正アクセス禁止法で訴えられることが多いため、裁かれる法律も異なります。理由は「通常アクセスによる不正」であるためです。

「内部犯行」へのセキュリティ対策

主に情報システムを対象とした内部犯行を防ぐ対策について説明します。IPAが2013年に作成し、現在は第4版が公開されている「組織における内部不正対策ガイドライン」では、次の5つを内部不正防止の基本原則としています。

• 1つ目は「犯行を難しくする」ことです。
• 内部犯行も想定したセキュリティ対策を行うことで、犯罪行為をやりにくくします。アカウント管理や入退出管理、データの持ち出し制限などが含まれます。
• 2つ目は「捕まるリスクを高める」ことです。
• 管理や監視を強化することで、犯罪行為をやると見つかるようにします。監視の強化や共有アカウントの廃止、単独作業の制限などが含まれます。
• 3つ目は「犯行の見返りを減らす」ことです。
• 犯行者が得られる利益を減らすことで、割に合わない状態にして犯行を未然に防ぎます。データのアクセス制御や削除、暗号化などが含まれます。また、犯行が明らかになった際は、速やかに警察への届け出ることも重要です。
• 4つ目は「犯行の誘因を減らす」ことです。
• 犯罪を行う気持ちにさせないことで、犯行を抑止してその気にさせないようにします。業務上のストレス軽減や圧力の緩和、模倣犯の阻止などが含まれます。公正な人事評価や円滑なコミュニケーションで解決できる問題かもしれません。
• 5つ目は「犯罪の弁明をさせない」ことです。
• 犯行者が自らの行為を正当化する理由を排除することで、言い訳をさせないようにします。規則やコンプライアンスを定めて、教育を徹底します。契約書へのサインやポスターなどで良心に訴えかけることも有効かもしれません。

内部犯行は防ぐことも、気が付くことも難しいインシデントの一つです。人は弱いという「性弱説」に基づいて、不幸な内部犯行者を生まないセキュリティ対策が組織として実施できるといいですね。