当該派遣社員は、システム保守者とリモート業務者に許可されていたリモートアクセスを経由して対象のシステムに接続し、「システム管理者アカウント」と呼ばれる共有型特権アカウントの1つを悪用して、システムに保管されたデータを入手していたようです。当初A・B両社が、本インシデントについて顧客に対して虚偽の報告を行っていたこともあり、この事案は大きな問題として取り上げられました。 　本事例の根本原因はいくつかあると思われますが、中でも次の3つは影響が大きいと推察されます。1つ目は、「特権アカウントの利用者が固定化されており、その利用にあたっての承認プロセスが存在していなかった」こと。2つ目は、「特権アカウントの利用履歴を監査するプロセスが確立されていなかった」こと。最後に、「特権アカウントの利用者が、リモートアクセスのIDやパスワードの運用・保守も担っていたこと」です。

　ここから得られる教訓として、共有型特権アカウントを利用する際のアクセス許可を厳格化することに加え、特権アカウントを利用したアクセス履歴の監査を強化したり、リモートアクセスで使うユーザーID・パスワードの保護を強化したりなどといった対策の重要性がうかがえます。 ■組織外部からの攻撃も、入り口はユーザーIDの侵害から 　ここからは、「組織外部からの攻撃」について考えます。外部の攻撃者の動機は、主に「金銭的な利益追求」「情報収集・スパイ活動」「政治的・社会的な動機」「技術的な挑戦や名声の追求」「個人的報復や業務妨害」「社会への不満」「軍事的な目的」などです。

　悪意を持った外部攻撃者は、高度な攻撃テクニックや、昨今広がっているサイバー犯罪のサービスモデル(Cyber-crime as a Service)を利用して、企業・組織の貴重な資産(データなど)にアクセスしようとします。近年の攻撃手法は高度化していますが、まずは企業・組織への侵入口として、フィッシング攻撃やソーシャルエンジニアリング攻撃などを通じて、ユーザーが利用しているIDを侵害しようとするのです。