通常、多くの理由から、組織は、セキュリティおよび防御対策の大半において、攻撃者を組織のネットワークや環境から締め出すことを重視しています。しかし、脅威が内部から発生したらどうなるでしょうか?
その傾向は高まりつつありますが、簡単に見過ごされています。明らかな兆候に気付かない場合や、それを阻止するためのプロアクティブな対策を採っていない場合、組織は大きな盲点に対して無防備な状態のままとなっている可能性があります。
日本でも業務委託先の開発技術者がインターネット上のサイトに勝手にデータを投稿し、ソースコードを流出させる事件が発生した。これはサイバー攻撃ではなく、漏洩させた技術者に罪の意識がなかったのが特徴で、委託先の管理が行き届かなかった。
これらの内部関係者の脅威について解説し、それらを特定し阻止する方法を組織向けに教えてもらうために、TrustwaveのSpiderLabsのセキュリティ研究部門バイスプレジデントであるZiv Madorに話を聞きました。
内部関係者の脅威とは?
Zivによれば、フィッシングリンクをクリックした従業員などの人的エラーに起因する侵害は、内部関係者の脅威とはみなされません。内部関係者の脅威は、意図的なもので、2つの異なる動機によって分類できます。
不満を抱いている従業員
仕事に対する満足度、最近の解雇、または契約終了など、理由のいかんにかかわらず、不満を抱いている従業員またはサードパーティベンダーが組織のネットワーク、特定のサービス、または特定のデータへのアクセス権を引き続き保持している場合には、彼らによってリスクがもたらされます。「それは重大な脅威です。たとえば、不満を抱いている開発者が、製品のソースコードを入手し、それを抽出して、公開したり、販売したりすることがあります」と、Zivは述べています。
リスクはそれだけに留まりません。顧客リストの漏洩、サーバのダウン、データの削除などが引き起こされる可能性があり、犯人がすぐに見つかった場合でも損害はすでに生じています。攻撃者は、検知を回避するためにほとんど労力を費やすことなく、会社に損害を与えるために可能なかぎり迅速に動くため、リスクはさらに増大します。さらに悪いことに、従業員が機密資産へのデフォルトのアクセス権を保持している場合や、セキュリティ手順に精通している場合すらあります。たとえば、営業担当者は職務権限の一部として日常的に顧客データベースを使用しています。これらの潜在する内部関係者の脅威は、従業員が単に彼らの仕事をこなしているだけに見えるため、彼らは検知されるまで、かなり長い期間、操作している場合があります。
ダークウェブでの求人
Zivは、TrustwaveのSpiderLabsにおける彼の仕事の一環として、攻撃者が何を企んでいるのかを判別するためにダークウェブ上の活動をモニタリングできます。Zivと彼のチームは、サイバー犯罪、認証情報の窃取、マルウェアの配信、資金洗浄、クレジットカード情報の窃取、フィッシングを中心に展開しているフォーラムを数え切れないほど検出しています。これらのフォーラムにアクセスするには、通常認証情報が必要です。このような犯罪者グループの中には、自社の従業員からの支援を求めているものも見受けられます。
たとえば、悪意のあるハッカーグループは、出金限度額の引き上げやローンの承認などの特定のタスクで銀行の従業員を募集して、支払い(時給)を約束し、それによってハッカーが侵害したアカウントからより多額の現金を引き出せるようにします。ヨーロッパでは、ハッカーが特定の証明書やパスポートの作成を手助けさせるために公務員を募集しました。最近では、米国のハッカーがSIMジャッキング攻撃(以下のリンクを参照ください)を仕掛けるためにモバイルプロバイダの従業員と連携したことが発覚しました。 SIM-jacking attacks(英語)
組織はどのように自身を防御できるか?
内部関係者の脅威の性質上、防御および防止戦略では、従来のアプローチは役に立ちません。「2つの個別の部門の取り組みがあります。1つは人事レベルです。結局のところ人に対処するからです。もう1つは、テクノロジーを活用することです」と、Zivは述べています。
人事の役割
人事は、恵まれず不満を抱いている従業員や、前兆を示している従業員を特定するために、部門マネージャの教育を助長できます。そのような従業員は、強力な政治的見解を持っていたり、自分のマネージャや職務に対して拒否反応を示したりしている場合があります。または、間もなく自分が解雇されることに気付いています。従業員が会社に敵対した場合に備えるために、常に警戒しておく必要のある細目があります。
同僚が不満を感知したり、挙動の変化を検知できたりする場合もあります。奇妙な挙動を報告したり、懸念を伝えたりするためのプロセスまたはシステムを配備する必要があります。
モニタリングと検知
「不満を抱いている従業員は、ある時点で、日常業務とは全然違うことをし始めます。アクセス権を悪用したり、以前には決してしなかった行動に出たりする場合があります」と、Zivは述べています。
ヒントとなる奇妙な挙動の一部を以下に示します。次のような行動を取ります:
- 通常よりかなり頻繁に顧客リストやデータベースをクエリする。また、初めての場合は、データのコピー、変更、またはダウンロードを試みる。場合によっては、アクセスが拒否されることがあるため、このようなイベントは調べる必要があります。
- リモートデスクトップ接続をインストールする(認められるような理由なしに)。
- 疑わしいサイトを見始めたり、ダークウェブにアクセスしたりする。
- 抽出ツールやあからさまな犯罪者/ハッキングツールをダウンロードする。
これらの挙動を明確化するためにテクノロジーが有効な領域とは…
Zivは、従業員がリモートで接続し(奇妙な行動をし)ているかどうか検知するために異常検知機能を搭載したIDS(侵入検知システム)またはIPS(侵入防止システム)、および悪意のあるソフトウェアをフラグ付けするスレットハンティングツールを使用し、従業員が職務権限の範疇外のデータにアクセスしないように、ユーザ権限管理とアクセス制御を確実に設定することを推奨しています。
データベース保護およびモニタリングツールも、異常を検知し、ポリシー(最初に設定されている必要がある)に違反した疑わしい活動や要求にフラグを立てます。ポリシーに応じて、従業員がおかしな時間や週末にデータベースをクエリしたときに、アラートを受信することができます。
データ漏洩防止機能を装備した電子メールセキュリティツールも不可欠です。それらは、データ抽出の試みを特定できる場合があります。普通でない時間帯の稀な場所からの異常な回数のVPN接続や、異常なデータコピーを伴う接続をモニタリングします。そのような接続は、リモートで組織からデータを抽出する試みや、その他の悪意ある意図での試みを示していることがあります。
どの従業員でもさまざまな形で組織に損害をもたらす可能性があるため、組織は1つのツールだけに頼ることはできません。代わりに、従業員が身を翻すことを決めたかどうか把握するために、複数のモニタリングおよび検知ツールを適切に設定する必要があります。
組織はどのようにリスクを最小化できるか
セキュリティ部門は、従業員が組織にどのように損害をもたらす可能性があるかを把握する必要があります。現在のアクセス権で、どのデータを抽出、変更、またはコピーできるか?彼らは他の部門の機密情報にアクセスできるか?させるべきか?従業員が組織を利用できる方法とチャネルを把握すれば、ツールの購入と設定を決定するために役立ちます。
最後に、これらリスク分野であることとして、人事部門と連携して、従業員が過度に不満を持たないように、最初にポリシーを確実に設定します。組織全体の雰囲気はどうか?高いターンアラウンドや、仕事の満足度が最低である特定の部門が存在しますか?職場やマネージャについてかなり否定的なコメントをしている従業員を観察してください。人間の判断力を用いて、従業員の生活の質を改善するための方法を見出すことが、この種の攻撃を防ぐために大いに役立ちます。
検知およびモニタリングサービスが、内外からの攻撃を検知し防ぐためにどのように役立つかの詳細については、Trustwaveマネージドスレットディテクション&レスポンスサービスをご確認ください。