もっと身近にセキュリティ

映画みたいな事件が本当にあるんだ

今月もいくつか個人情報流出のニュースが話題になりました。
しかも立て続けにハリウッド映画さながらの複雑な手口や現段階で謎の多い事件が相次いで起きています。

まず気になったのは青森県弘前市の市職員の個人情報が流出し、それに関する匿名の通報が地元の新聞社へあり、調査の結果として犯人は特定できないものの職員の関与と判断され、被疑者不詳のまま刑事告発に至ったというニュースです。
人事課が2017年時点の職員リストのExcelファイルが何らかの形で流出したと考えられており、不正アクセスの形跡はないとしているものの、アクセスした個人まで特定できていないところを見ると、ログの管理がどの程度十分に行われているのかはやや疑問が残ります。
ただ流出が2年前に起きていたとすると、さすがにその当時のログがなくなってしまっていても致し方ないという見方もでき、犯人はそれを見越して2年間「寝かせた」のだとするとやや壮大な動機すら考えたくなってしまいます。

もう一つ、三菱電機の自社ネットワークが不正アクセスを受け個人情報等が外部へ流出した可能性があると発表した、という事件もやや壮大さと、対応速度が適切だったのかという点で興味深いです。
情報はまだ錯綜しており三菱電機内部でも継続して調査中とのことのようですが、中国の関係会社でマルウェア感染が発生し、国内の事業部などにも侵害が拡大、従業員や採用応募者などの個人情報、内部資料や営業資料などが流出したと見られています。
具体的な手口はまだ明らかではありませんが、ルーターの脆弱性を突いた痕跡があったり、一部端末ではログの消去が行われていたり、トレンドマイクロのウイルスバスターの脆弱性が悪用されたのではないかと言われたり、中国由来のクラッカー集団の関与が噂されたりと、全容解明はまだ長い道のりがかかりそうです。
企業の性質上、防衛・電力・鉄道等に係る機微情報も扱っており、これらに関する流出はないとはされていますが、まだ予断は許さないかもしれません。
また31日になってNECの防衛事業部門が利用している社内サーバが第三者による不正アクセスを受けたことを確認したと発表してもいます。NECも三菱電機と同じく防衛関連の取り扱いがある企業であるため、関連があるのかないのか、続報を待ちたいところです。

さらに壮大になってくるのは、アマゾンCEOのジェフ・ベゾス氏のiPhoneがハッキングされ、プライベートな情報がリークされたという事件です。
しかも発端はサウジアラビアのムハンマド皇太子から届いたビデオファイルから始まったのではないかとされており、背景にはサウジアラビア総領事館で殺害されたトルコのジャーナリストが所属していたのがアメリカのワシントン・ポストで、そのオーナーがジェフ・ベゾス氏であるという、完全にスパイ映画のような話です。
サウジアラビアに対して批判的な組織(ワシントン・ポスト)の監視をしたいという動機が囁かれています。国連特別報告人からアメリカ政府に対して捜査が要求されていますが、あまりに壮大で複雑な背景があるためうやむやのままたち消えてしまうのではないかという気すらします。

そんな映画みたいな話があるんだと思っていたところに、ソフトバンク元社員の男が不正競争防止法違反の容疑で逮捕されたという事件が報道され、しかも在日ロシア通商代表部の職員へ情報を渡したとも報じられています。
高機密に分類される情報は含まれていないものの、通信設備関連工事の作業手順書が持ち出されたのではないかと見られており、もちろんロシア側は否定していますが、もし事実だとすればどのような意図や動機があるのか気になるところです。
どのようにロシア側が元社員の男に接触をしたのかなど、謎がまだまだ多い事件ではあります。

「サウジアラビア(の皇太子)がアマゾンのCEOを狙う」というとスケールは大きいですし、三菱電機もソフトバンクも大企業ではありますが、悪意は意外と身近なところに存在したり、一見信頼できそうなところからも迫ってくることがあるということは改めて意識してもいいのかもしれません。
加えてマルウェアを使ったり脆弱性を突いた「高度な不正アクセス」に備える必要があるのはもちろんですが、弘前市やソフトバンクの事例のように「不正な情報の持ち出し」が結果的に手軽で確実というのも、認識・意識を改めて正すべきものと言えるのではないでしょうか。

ところでこの年末年始で最も映画のようであった事件としては、カルロス・ゴーン被告がレバノンに逃亡したという事件ですが、情報セキュリティ的な観点の話はあまりなく、警察・検察の監視体制や空港の物理的なセキュリティ体制の話や国外も含めた司法制度の話が主なところなので、ここでは触れないことにします。