先日、大手回転ずしチェーン店の社長が、前職の機密情報を不正に持ち出して利用するというショッキングな事件が起きました。また、持ち出された情報は転職先の社内で共有されるなどしており、組織的な関与が疑われています。
このように、転職者が転職する際に前職の情報を”おみやげ”として入社してくるケースは少なくありません。
この事件は、大手回転ずしチェーン店の「かっぱ寿司」を運営するカッパ・クリエイトの田辺公己社長が、同社に転職する前に勤務していた競合先である「はま寿司」の仕入れに関する内部データを不正に持ち出し、さらに持ち出された情報は「かっぱ寿司」内部で複数の幹部社員に共有されていたというものです。データ持ち出しの際にはUSBが使用され、さらに社内で共有する際にはメールによって社内展開されていたことなどから、社内の情報セキュリティが極めて脆弱だったことがわかります。
かっぱ寿司の事件から私たちが学ぶことは、企業として会社データが持ち出された場合の対処法と持ち出されないようにする予防はしておくべきということです。
今回の記事では、会社データ持ち出しの方法として多いUSBメモリーによる情報漏洩に焦点を当てて解説します。
USBの接続履歴は閲覧することも削除することもできる?
USBメモリを使えば会社PCの情報を外部へ持ち出すことは簡単にできます。そのため、不正防止の観点からUSBメモリを始めとした外部記憶装置の使用自体が禁止されている会社も多くなってきました。
他方、退職者(退職予定者)がUSBを使用して会社の機密情報を外部へ持ち出す事件が後を絶えません。たとえば、独立開業や競合他社への転職を前提に計画的に機密情報を持ち出す事例が目立ちます。彼らはスマートフォンを充電するように見せかけて、会社PCにUSB接続し内部のメモリーカードにデータを転送することや、犯人のITリテラシーが高ければ、会社外部から不正アクセスするようなこともあります。
ところで、会社PCへのUSBの接続履歴は調査することが可能です。通常のPCでは、USBなどの外部接続端子のログがすべて記録されます。つまり、USBメモリを接続された日時を知ることができるのです。しかしながら、USBメモリの接続履歴は消去することもできるため、そのような場合にはプロによる調査が必要となってきます。いずれにせよ、USBの接続履歴や消去されたログ履歴を復元するためには、PCのログ解析などの高度な専門知識が必要です。
デジタルフォレンジックで消去されたUSBの接続履歴を調査
たとえUSBの接続履歴が消去されていたとしても、「デジタルフォレンジック」で調査することで接続履歴を復元することが可能です。聞きなれない言葉かもしれませんが、デジタルフォレンジックを日本語に言い換えれば「デジタル鑑識」です。警察の鑑識が人間の死因を特定するように、デジタルフォレンジックのプロはPCなどに残っている証拠を精査していきます。
PCの調査であれば、Cドライブ、Dドライブ以外にもキャッシュやメモリまで緻密な調査を実施します。USBが利用された情報漏洩案件では、USBメモリのメーカーすらも特定することが可能です。
USB接続履歴を社内で調査する方法
まず、社内で社員の接続履歴を調査できるかというと、初心者には難易度が高いため専門家に頼むことをお勧めします。
ただし、初動調査で既に疑わしい社員がまだ在籍している場合は、本人に気づかれないようにUSBのメーカーや機種を把握しておきましょう。
これらの情報は、実際にUSB接続履歴を調査する際に役に立ちます。
専門家に依頼した場合のUSB接続履歴調査費用目安
USB接続履歴の調査費用は基本的には25万円~が目安になります。
実際に調査を始めてすぐ情報が特定させるケースと時間がかかるケースがあります。
また、接続履歴調査から該当のUSBが判明している場合の特定調査を行うと、さらにプラスの料金が掛かります。
USB接続履歴調査の流れ
USB接続履歴調査は全体で1週間ほどかかります。PCが必要な場合は即日ご返却するため、心配は無用です。
調査では最初にPCをお預かりするところから始まります。お預かりしたPCからデータを抽出したあとは、そのデータを使ってサルベージと言う作業を行います。
この作業でアーカイブを復元、データベース化し、網羅的に展開させ、ここからヒアリングを基に必要なデータを取捨選択していきます。そして、対象者の行動に基づき必要な情報を抽出し、分析レポートを作成し、調査は終了になります。必要に応じて報告書で提出することも可能です。
アスエイト・アドバイザリーで対応した調査事例
実際に、弊社で調査を行った「USBによる情報持ち出し」の事例をご紹介します。
【事例1】元社員による転職先への情報資産持ち出し事案
コンサルティング会社(A社)に勤務していた社員(S氏)がA社の競合であるB社に転職。S氏がB社に転職した数か月後に、自社の極秘データをクライアント企業から入手するという事件が発生します。これを不審に思ったA社の担当者が、該当ファイルのプロパティ情報を確認。すると、退職者であるS氏の名前がありました。また、A社ではUSBメモリの使用を禁止していたものの、物理的に利用することができる状況です。以上のことから、S氏がUSBメモリで情報を抜き取り、クライアント企業へ持ち込んだのではないかという疑惑が浮上します。
デジタルフォレンジックを依頼された弊社で、退職者S氏が使用していたノートPCのUSB接続履歴を確認。すると、会社管理外のUSBメモリの接続履歴が多数確認できました。また、すべての接続日時がS氏の在職期間と一致したため、S氏が日常的に私用のUSBメモリで情報を抜き出していた可能性が高まります。さらに、S氏のPCへのUSB接続履歴と、該当ファイルへのアクセス履歴の日時を突合すると、他にも多くのファイルが流出していることが判明。
後日、これらの情報流出は、S氏の転職先であるB社の指示の下で行われたことが明らかになりました。
【事例2】従業員による特定重要ファイルの無断持ち出し事案
製造業M社の情報システム部門にて、共有フォルダ内の特定重要ファイルに対する不審なアクセスログを発見。弊社の調査により、営業部門の誰もが使用できる共用PCがアクセス元と判明しました。そこで、共用PCに対してフォレンジック調査を実施しました。ファイルのアクセス履歴をたどり、特定重要ファイルへのアクセスルートを解析。さらには、PCの外部接続機器の接続履歴を調査し、ファイルを持ち出す際に使用されたのではないかというUSBの接続まで確認されました。
接続履歴と営業部門の入退室記録情報をもとに、持ち出しの可能性がある社員を5名に絞りこみ。各々にヒアリングを実施したところ、ある社員(C氏)が同日に特定重要ファイルにアクセスしたことを認めました。ですが、ファイルの持ち出しについては関与を否定しています。そこで、C氏の社用PCをフォレンジック調査。すると、特定重要ファイルは発見されなかったのですが、共用PCに接続されたものと同一のUSBメモリによる接続履歴が確認されました。C氏へ対するヒアリング・調査は継続され、最終的にはC氏が持ち出しを認めるに至りました。
アスエイトアドバイザリーのデジタルフォレンジックにおける強み
1, 複数のフォレンジックツールを用いて多角的に分析
単一の調査機器では見落とすようなポイントでも複数のフォレンジックツールを用いることで特定が可能になります。
2,専任の調査官が担当する
調査を担当する専任の調査官は長年デジタルフォレンジックを行ってきた経験から高い知見を持ち合わせております。調査官は警察の捜査と同じように怪しいポイントを絞り込んでいき、AIでも見抜けなかったところを見破ることができ、調査期間を短縮することにも貢献します。
3, 膨大な過去の調査経験と精鋭チーム
アスエイトアドバザリーには国内外、大手企業から中小企業まで様々な会社のデータ持ち出し事件の調査経験があり、世間に広く報道された事件の不正調査を任された経験もあります。さらに、メンバーは全員デジタルフォレンジックの経験が豊富な人物ばかりで、迅速かつ高精度な調査でお客様の不安を解決します。
併せて知っておきたい会社データを持ち出しされる方法
今回の記事ではUSBで会社データを持ち出された場合を想定していますが、それ以外にも会社データを持ち出す方法はあります。
1, メールで会社データを持ち出す
この方法ではメールを通じて会社データを社外に送るという手口が使われます。ただし、メールが削除済みだとしてもメール返信に使用したパソコンが残っていれば復元できる可能性があります。さらに、外部にメールを送信した履歴やExcel、Wordなどの添付ファイルまで復元できる場合もあります。
2,クラウドストレージで会社データを持ち出す
この方法ではクラウドストレージにデータをアップロードして持ち出すという手口が使われます。パソコン内に同期していれば該当ファイルが削除されていたとしてもアクセス履歴が残っていることがあるため、ファイル名などの情報と紐づけて特定が行えます。
3,スマホで撮影して会社データを持ち出す
この方法は、私用のスマホを社内で自由に利用できるケースに多いです。スマホに取られた画像データですが、画像を復元して証拠を提出することは難しくなってきています。ただし、アンドロイドですとSDカードを使ってデータを保存していることがありますので、それを利用して復元ができた場合もあります。
画像データのExif情報を追うことで、撮影情報や撮影場所を特定するという方法もあります。ただし、個人情報を公開させるという行為はハードルがかなり高いため、会社で外に出せない機密情報を取り扱っている場合は極力私用携帯の持ち込みを禁止することをお勧めします。
4,LINEで会社データを持ち出す
この方法ではパソコン内にLINEを入れて情報を抜き取るという手口が使われます。
トーク履歴が仮に消されていたとしても、LINEを入れていた形跡から情報をたどることはできます。さらに、LINEのデータは抽出可能なので、前後関係の情報を見て何らかのデータを見つけられる可能性はあります。
会社データ持ち出しを未然に防ぐ方法とは?
会社データの持ち出しを未然に防ぐには、社内情報取り扱いのルール化や情報セキュリティを強化するなどの方法があります。さらにインフラ面の整備だけではなく、社員に対しても情報の取り扱い方法や情報を持ち出すことの社会的リスクをしっかり伝えるなど、教育面でも対策が必要です。
インフラ面、教育面の両方のバランスが取れてはじめて不正を防ぐことができます。
会社データ持ち出しを防ぐインフラ面の強化策
1,私用携帯と業務用携帯を分ける
私用携帯では利用ログを追うこともできませんから、会社情報を私用携帯でやり取りできる状況は避けましょう。
業務用携帯を支給し、アクセス履歴を追えるようにしたり、利用できるアプリを制限するなどの対策が有効です。
2,連絡手段としてLINE、SNSなどを使用する際は、社内用と私用のアカウントを分けさせる
LINEをはじめとするSNSの個人アカウントは会社の業務で使用させてはいけません。これらの連絡手段を用いる場合は、会社側が専用のアカウントを用意する又は代替のチャットツールを用意します。LINEを使う場合でも会社が管理するアカウントを使わせるようにしましょう。
3,インストール履歴、ダウンロード・アクセス履歴を管理する
社員が使用している会社PCや社員に貸与している会社スマホの履歴を管理します。
4,クラウドデータ、アクセスの制限
gmailなどのクラウドサービスを個人アカウントで利用されると証拠を突き止めることが非常に難しくなります。
社員のgmail、クラウドサービスの使用を制限することでリスクを軽減することができます。
5,USBの接続制限をかける
USBで会社データを持ち出される事例は枚挙にいとまがありません。
先日報道されたかっぱ寿司社長によりはま寿司の情報が持ち出されたという事件も、USBメモリによる持ち出しでした。
6,属人的な管理権限をやめる
ドロップボックスの管理者が一社員になっていると自分のボックスに移すことが容易なため
情報持ち出しが起こりやすいといえます。
7,会社PCのファイルの追跡
社員が使用している会社PCのファイルの操作履歴(作成・編集・移動・削除)を追跡できるようにしておきます。
会社データ持ち出しを防ぐ教育面の施策
前述したインフラ面の施策を全て行ったとしても、会社データの持ち出しは起こりうることです。例えば、私用携帯で情報データの写メをとるなどの行為は物理的に可能なので防ぎようがありません。
そこで必要になってくるのが社員への情報リテラシー教育です。
例えば、社員に会社のセキュリティがしっかりしているということや、持ち出そうとしても結局は見つかり、何一つメリットがないと伝えることは、不正に対する抑止力になります。
また、PCやスマホなどでどういうログが取られているのか教育することで、見られているという意識を植えつけることもデータ持ち出しを防ぐ一定の効果があります。
いままでご相談を受けた企業の中には、社員にUSBを貸与していてもUSB制限をしていなかったところや、社員に個人アカウントのgmailの利用を認めていたところがあります。
情報を水、会社をコップとすると、水がこぼれないようにヒビ割れがないか、穴がないかを常に意識して確認し、穴があれば蓋をするのは当然です。
USBから情報が漏れるなら、情報を読み取れなくすればいいですし、LANケーブルからネットに逃げていくなら、流出する手前でブロックすればいいだけの話です。
会社データ持ち出し予防コンサルティング
会社データの持ち出しを未然に防ぐには前述の通り、インフラ面と教育面の両面から対策を行っていく必要があります。
弊社では、インフラ面・教育面共にサポートすることが可能です。
現状は満足なセキュリティ体制が取れていないという企業様は、
『セキュリティ仕組み構築支援』がオススメです。
月額25〜30万円で、社内セキュリティの抜本的な見直しを行い、一から構築していきます。その際に社員の方の機密情報の取り扱いに関するリテラシー教育のサポートも行わせて頂きます。
現状のセキュリティ体制で問題ないかどうかチェックしてほしいという場合は弊社の『社内セキュリティのアドバイザリー支援【SRiM -スリム-】』がオススメです。
月額5万円~で現在のセキュリティ体制をチェックし、アドバイスを行わせて頂きます。
会社情報の持ち出しは、決してテレビの向こう側の話ではありません。
相当数の事案が発生しており、時に会社の経営に大きなダメージを与えかねません。
自社のセキュリティ体制に不安がある企業様は是非ご相談ください。
再発防止へ向けた取り組みもサポートします
弊社(アスエイト・アドバイザリー)は、不正が発覚した際の調査のみならず、様々な再発防止策のご提案を併せて実施しております。
社内システムの健康診断(脆弱性診断)の実施
内部不正に限らず会社外部からのサイバー攻撃は社会的な問題ともなっています。これらの脅威から会社を守るためには、定期的な脆弱性診断を実施し、リスクに応じた対応策を検討することが極めて重要です。
ログ監視サービス
本記事でご紹介したような事例のような内部不正には、犯行の兆候があるものです。イレギュラーな侵入記録、イベントのログ収集を分析することで事件発生リスクを未然に防ぐことが可能となります。
社内教育・研修サービス
今やテレワークは日常的なものとなりました。ネットワークに潜むマルウェアなどから組織を守るためには、社員一人ひとりのITリテラシーの向上が必須と言えるでしょう。
従業員による不正持ち出しの調査はお気軽にご相談ください
アスエイト・アドバイザリーは、不正発覚時の調査や再発防止への取り組みツールとして、「自己脆弱性診断(ASVD)」をご提案しています。一般的な脆弱性診断は、診断の都度コストがかかってしまいますが、ASVDを導入すれば自社内で常時診断が可能です。セキュリティエンジニアが貴社を全面的にバックアップし、メンテナンスも弊社が担当するため常に最新の脆弱性情報を使用しながら潜在的なリスクを発見できます。尚、弊社のデジタルフォレンジックは国内だけでなく、海外での保全や調査にも対応しています。
従業員による不正持ち出しの調査は、アスエイト・アドバイザリーへお気軽にご相談ください。
▼過去の対応事例はコチラから
