Episode12:攻撃は外部からだけとは限らない?
所長 所長 この手紙みてくださいよ!
なんだ 急に
どうせまた架空請求か何かだろう・・・ どれどれ
『小林様 この度は、弊社社員の不注意により紛失したUSBメモリを届けていただき大変感謝を申し上げます。これを機に社内の更なる情報セキュリティ向上に・・・』
ああ 以前小林君が拾った怪しいUSBの件か。
無事に届いたみたいで何よりだったな
実は、ひっそり家に持ち帰って中身を見ているんじゃないかと疑っていたんだよ
そんなことしませんよ! まっすぐ警察に届けましたよ!
それより 手紙の最後の方を見てくださいよ
まあまあ 疑っていたのは冗談だよ
なになに 『 ・・・つきましてはこころばかりではございますがお礼をしたく、一度弊社までご連絡を・・・ 』
そう お礼!
あのUSBメモリにこの対応とは 余程重要な情報が記録されていたんだろう
見た目はそうでもなかったんですけどね
そうだな そこまで重要なUSBであればストラップを取り付ける等して 紛失防止に努めても良かったはずなんだが
紛失した社員は 不注意だったとはいえ 相当青ざめたに違いない
仮に個人情報だったとして 悪い人が拾って インターネット上に流されでもしたら 大変な騒ぎになっちゃいますからね
でも、所長の言ったとおり本当に重要な情報が記録されたUSBメモリだったなら 持ち出す時にたくさんのチェックがあっても良さそうなんですけど
そこなんだよ 小林君
コンピュータ等の『機械』は設定すれば設定したとおりの動きをするが
『人間』の場合はそうは簡単にはいかない
それって どういうことですか?
『不正のトライアングル』という言葉を聞いたことあるかい?
そうか 聞いたことないか
ちょっと まだ返事してないんですけど
(聞いたことないけど)
『不正のトライアングル』というのは 簡単に説明すると
不正は「動機」「機会」「正当化」の3つの要因が揃ったときに行われてしまう
という理論のことなんだ
例えば 前回の小林君USB事件の場合だと
動機は『USBメモリに記録されたデータを見たい』
機会は『パソコンを管理している私が事務所にいないからバレない』
正当化は『事務所のパソコンに事務専用以外のUSBメモリを接続してはいけない約束だけど USBメモリの中身を確認しないと落とし主に返せないから仕方がない』
動機は『USBメモリを落とし主に返したい』ですからね
と まあ 3つの要素が揃ったわけだが
たまたま 私がその場に現れ 「機会」が失われたため、不正が行われなかったというわけだ
へぇ~
「へぇ~」じゃないよ 小林君
この件は 立派な 内部不正に当たるんだぞ
な 内部不正!?
そうだ 小林君は私が戻らなければ事務所の約束事を破るところだった
もし そのUSBメモリが原因で事務所のパソコンが乗っ取られ 外部に個人情報が漏洩でもしたら大変なことだったんだぞ
言い換えるなら
小林君による事務所内部からのサイバー攻撃の寸前だったということだ
な 内部からの攻撃だなんて!?
僕 別にそんなつもりじゃなかったのに...
もう 事務所クビですか...?
心配するな
小林君がそんな大胆なことをする人間ではないということは良く知っているよ
多分こいつに付け込まれる寸前 というか付け込まれたんだろう
犯罪者ファイル#5:ユダ
サイバー空間を介さず、人間の心に直接アクセスできる能力を有するエスパーゴースト。
ユダ?
エスパー?
こいつはサイバーセキュリティ界のみならず 様々な組織から重要警戒対象としてマークされているゴーストだ
重要警戒対象なんて超Vip待遇ですね
正直 こいつに狙われたら私でもどうなるかわからん
所長でも対応できないって どうにか防ぐ方法は無いんですか?
さっき 不正は「動機」「機会」「正当化」の3つの要因が揃ったときに行われると言ったが この内「動機」と「正当化」は人それぞれの感情に基づくもので完全にコントロールすることは非常に難しい
ユダは その人間の感情が大きく影響を及ぼす「動機」と「正当化」に目をつけるわけだ
多くのサイバーゴーストがシステムの脆弱性といった機械的な弱みを狙う中
人間の感情といった機械の様に設定のできない部分を狙うのは このユダだけだ
僕も ダメなのは分かってはいましたが中身を見たいという感情は抑えられませんでしたからね
そこで 残りの「機会」に注目する
例えば
『事務所のパソコンには登録されたUSBデバイス以外は認識しないように設定する』
とかね
そんな設定にされていたんですか?
実は そうだったんだよ
だから 私が事務所に居なくても小林君の内部不正は「機会」が無い為 成功しようがなかった
もちろん 外部USBメモリが接続されるという不正に対してのみの「機会」に限定されるがね
ちなみに 小林君が事務所に来る前から設定してあるんだよ
私自身 うっかりミスが起きないとは言い切れないからな
トライアングルの1つでも成立しなければ不正が行われないのであれば 人の感情に左右される「動機」「正当化」に着目するより 物理的に対策が可能な「機会」1つに力を注いだ方が効率的だろう
なるほど~
てっきり 所長は僕のことを信用していないんじゃないかと思っちゃいました
だが だからといって「動機」や「正当化」への対策をしなくてもよいと言っているわけではないからな
えー どうしてですか?
いくら厳しい規則や強固なシステムを構築し「機会」を失くしたと思っても 結局は人間が行うことだから 抜け穴がないとも言い切れない
逆に 私に不満を持って一泡吹かせようと目論んでいる小林君に 事務所内の職員相談員が優しい言葉を掛け不満を解消してあげれば 「動機」の面で不正を防止できる可能性があるということだ
え この事務所に職員相談員っていましたっけ?
職員相談員は 私だよ
普段から小林君の愚痴や不満を聞いたりアドバイスしたりしているだろう?
あ それもそうでしたね
ありがとうございます 所長
それと IPAでは内部不正防止に向けたガイドラインとして
「組織における内部不正ガイドライン」
を掲載している
これから組織における内部不正に取り組もうという方や 既に取り組んでいる方でまだご覧になっていない場合は是非参考としてしていただきたい
過去の内部不正事例も載っているぞ
ところで所長
事務所の冷蔵庫にしまってあったケーキ知らないですか?
ん あ~ とても美味しかったよ
また 頼むよ
また頼むよじゃないですよ!
あのケーキは 僕が食べようと思って買ってきたやつですよ!
仕方がないだろ
甘いものが食べたいと思って冷蔵庫を開けたらケーキがあるんだぞ
食べない方が難しいだろう
食べられたくなかったら 冷蔵庫に鍵でもかけといてくれよ
さっき人の感情は制御が難しいって説明したばかりじゃないか
あ そっか
冷蔵庫に鍵をかけて「機会」をなくせば・・・
あと 冷蔵庫前に防犯カメラを設置するというのも良いアイデアだと思わないか?
えっと 防犯カメラの設置は・・・誰かが見てるってことだから・・・
『機会』 かな
って ケーキを冷蔵庫にしまったのはユダの話を聞く前ですよ!
くそ ユダの奴め!ゆるせん!
待ってろよ 今日こそ決着をつけてやる!
ちょ 所長 どこに行くんですか!
って逃げないでくださいよ!
-
Episode1
不正送金
-
Episode2
標的型攻撃
-
Episode3
ワンクリック詐欺
-
Episode4
集中アクセスによるサービス停止
-
Episode5
ランサムウェア
-
Episode6
コインマイナー
-
Episode7
公開された脆弱性情報の悪用
-
Episode8
IoT機器を踏み台にした攻撃
-
Episode9
街中のWi-Fiは危険なの?
-
Episode10
あなたのWebサイトは大丈夫?
-
Episode11
悪いUSB?
-
Episode12
攻撃は外部からだけとは限らない?
-
Episode13
そのアプリ、偽物かも?
-
Episode14
テレワークと情報セキュリティ対策
-
Episode15
ショルダーハッキングって何?
-
Episode16
「マルウェア」は忘れたころにやってくる?
-
Episode17
Webサービスからの個人情報の窃取
-
Episode18
パスワードの使いまわし
-
Episode19
パスワード付きZipファイルと「マルウェア」
-
Episode20
自分のアドレスからメールが届いても慌てないで
-
Episode21
偽装は続く~メールの送信元情報を安易に信じないで~
-
Episode22
不審なメールが届いた、Emotet?
-
Episode23
ショートカットファイルを悪用したEmotet等について
-
Episode24
Emocheckの使い方は?
