特権IDとそのパスワード情報が「悪意を持った攻撃者」に渡ってしまった場合、企業・組織が保有する重要なシステムやデータに対して、攻撃者が高い権限でアクセスすることを許すことになります。これは、企業・組織に大きな被害をもたらす可能性があります。 　「悪意を持った攻撃者」は、「内部攻撃者」と「外部攻撃者」の主に2つに分類できますが、ここで実際のインシデント事例とともに、それぞれの代表的な攻撃手法を紹介しましょう。

■グループ内の派遣社員が、第三者に顧客データを販売 　そもそも、組織内部からの攻撃はどのような動機で行われるのでしょうか。主に見られるのは、「待遇への不平・不満」「金銭的な利益追求」「競合企業の関与」「政治的・社会的な目的」「好奇心や技術的挑戦」などでしょう。 　悪意を持った内部攻撃者は、データをはじめ企業・組織の貴重な資産にアクセスしようとします。しかし動機があっても、資産にアクセスする手段がなければ始まりません。そこで悪用されるのが、「アクセス権限の必要以上の付与」や「ユーザーIDやパスワードの不適切な管理」など、企業・組織が抱える問題です。後者の「不適切な管理」には、例えば下記のような状態が挙げられます。

・ユーザーIDやパスワードがメモ帳や共有ファイルに記録されており、誰もが閲覧できてしまう。 ・高い権限を持つIDとそのパスワードについて、それらを利用する際の承認プロセスが欠如している。 ・高い権限を持つ共有型「特権アカウント」について、パスワードが使い回しされていたり、固定化されたりしている。など 　では、実際の事例を見てみましょう。 　昨年、国内某大手通信事業者のグループ会社で情報漏洩が発生しました。当該グループのB社は、同じグループのA社のシステム運用・保守を行っていました。そのB社の派遣社員が、A社の顧客データ約900万件を長期にわたって不正に入手し、第三者に販売していたことがわかったのです。