ISSコラム

企業を取り巻くサイバー脅威は日々進化し、ランサムウェアやDDoS攻撃、巧妙な標的型攻撃といった外部からの侵入が連日のように報道されています。
しかし、その陰に潜む、より身近で、時に致命的な脅威が存在します。
それは、組織の内部から発生する「内部犯行」です。多くのセキュリティ対策が外部からの攻撃に注力する中で、最も信頼すべき存在であるはずの「内部の人間」が、最大の脆弱性となりうるという現実が浮き彫りになっています。

「IBM Security: Cost of a Data Breach Report 2025」によると、悪意のある内部犯行によるデータ侵害は、平均で440万ドルものコストを企業にもたらすとされています 。これは、外部からの脅威によるデータ侵害と比較しても高額であることを示しています。さらに、「Verizon: 2025 Data Breach Investigations Report」では、脅威の状況は組織の規模、ミッション、場所によって多少異なる場合があると強調していることから、内部からの脅威に対する対策は、各組織の特性や直面するリスクに応じて調整されるべきであるとも考察できます。

内部犯行は、正当な権限を持つ従業員が通常業務の中で不正行為を行うためその防御が極めて困難であるという特性を持っています。
外部からのアクセスを遮断する対策とは異なり、内部からの脅威には、より洗練されたアプローチが求められます。特に、システム管理者など高いアクセス権限（特権）を有する人物による犯行は、被害が甚大になる傾向があります。組織が最も信頼を置くべき存在が、同時に最も危険な脅威となりうるというこのパラドックスは、企業のセキュリティ対策に対して根深い課題を浮き彫りにしています。

〜大手製造業を揺るがした謎の裏切り者〜

2018年、世界をリードする大手製造業者を襲った衝撃的な事件は、まさにこの「内部犯行」の恐ろしさを世に知らしめるものでした。それは、外部からの巧妙なハッキングではなく、内部の人物による「裏切り」が引き起こした、システム破壊と大規模なデータ窃盗だったのです。この事件は、単なる情報漏洩を超え、企業の根幹を揺るがす深刻な教訓を残しました。

事件の概要

2018年6月、その大手製造業者は、自社のオペレーションを揺るがす重大な内部犯行の被害を発表しました。当時のCEOは、この事件を従業員へのメールで「非常に広範囲にわたった、破壊的な妨害行為」と表現し、その深刻さを強調しました。

この事件で明らかになった犯行内容は、単なるデータ窃盗に留まらない多岐にわたるものでした。犯人は、製造オペレーティングシステム（MOS）に対し、「偽のユーザー名を使って直接コード変更」を行っていたとされます 。これは、単に情報を盗むだけでなく、製造プロセスそのものに混乱を引き起こす可能性を秘めた、悪質なシステム破壊行為でした。このような基幹システムへの妨害は、生産ラインの停止や製品品質の低下に直結し、製造業にとっては計り知れない経済的影響を及ぼす可能性があります。

さらに、犯人は「大量の機密性の高いデータ」を外部の未知の第三者に持ち出していました 。漏えいした情報には、写真やビデオ資産、MOSのソースコードといった技術的な機密情報も含まれていました。加えて、財務データ、製造プロセス、工場で使用されるスクラップや原材料の量に関する情報など、企業の競争優位性に直結する極めて重要なデータも含まれていたと報じられています。盗まれたコードが「200人年分の作業」に相当すると主張しており、これは長年にわたる研究開発によって蓄積された膨大な知的財産の喪失を意味します。技術開発における激しい競争を考慮すると、このような機密情報が競合他社に渡るリスクは、企業の将来を左右するほど重大なものでした。この事件は、内部犯行が情報漏洩だけでなく、事業継続性や知的財産保護といった企業の根幹に関わる多面的な脅威であることを明確に示しました。

事件発見のきっかけ

情報セキュリティチームは、導入していた「監視ソフトウェアを通じて、1月6日に約26,000ファイルもの大量のダウンロード」という異常な活動を検知しました。この異常なデータ転送が、正規の業務プロセスではないと直ちに判断されたことが、被害の拡大を食い止める上で極めて重要でした。この事例は、内部犯行対策において、自動化されたログ監視やユーザー行動分析（UBA）が初期段階での異常検知にどれほど不可欠であるかを如実に示しています。人間による監視や報告だけでは見過ごされがちな、巧妙な、あるいは悪意のある内部犯行の兆候を、技術的なシステムが捉えることができるのです。これは、従来の「信頼に基づく」セキュリティモデルからの脱却、すなわち「常に検証し、決して信頼しない」というゼロトラスト原則の内部適用が不可欠であることを示唆しています。

この異常検知後、速やかに遠隔で犯人への問い詰めを行いました。その際、監視チームは、犯人が自分のコンピューターからクラウドストレージを慌てて削除しようとしている様子をリアルタイムで確認していました 。これは、犯人が証拠隠滅を図ろうとした明確な行動でした。しかし、彼の試みは完全ではありませんでした。犯人はクラウドストレージからファイルを完全に削除しきれておらず、この残されたデータが、窃盗の規模を最終的に明らかにする決定的な証拠となったのです。この事実は、デジタルフォレンジックの計り知れない価値を強調しています。インシデント発生時において、証拠の収集と分析は、原因特定、被害範囲の特定、そしてその後の法的措置のために不可欠です。この能力は、情報処理安全確保支援士の期待する技術水準にも明確に含まれており 、予防だけでなく、事後対応の準備も同様に重要であることを示唆しています。

事件から考察されるべき施策の例

・アクセス権限の厳格化
・監視とログ管理の強化
・ユーザー行動分析（UBA）の導入
・情報持ち出しの制限とルール徹底
・二人作業の導入
・人的対策と教育・訓練
・内部通報制度の整備:
・インシデント対応体制の強化
・インシデント対応計画（IRP）の策定と訓練
・デジタルフォレンジック能力の確保

教訓

「信頼されたユーザーが常に最高のリスクを抱えている」という指摘は 、セキュリティ対策が「性善説」に立つべきではないことを示唆しています。従業員は、外部の攻撃者とは異なり、システムへの正当なアクセス権を持っているため、その動機さえあれば容易に不正行為に及ぶことができます。この事実は、アクセス権限の最小化（最小権限の原則）や、特権ID管理の徹底といった技術的・運用的対策が、たとえ信頼関係の上に成り立つ組織であっても不可欠であることを強調します。

内部犯行による情報漏洩は、企業に甚大な金銭的損失をもたらすだけでなく、ブランドイメージの毀損や顧客離れといった「見えないコスト」も発生させます。その影響の大きさは、過去の事例からも明らかです。
特に直接的な金銭的損失（賠償金、対応費用）だけでなく、企業ブランドの毀損、顧客離れ、役員辞任といった「見えないコスト」が経営に与える影響は計り知れません。これは、内部犯行対策が単なるITセキュリティの問題ではなく、企業経営における最重要リスクの一つとして捉えられるべきであることは言うまでもありません。

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供するサイバーセキュリティに関連する情報は、全てを対象にせず、ISSの独自の基準で判断しています。

また、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。