痛い経験から学んだ教訓:犯罪事件から明かになった企業のオフボーディング・プロセスの欠陥により、1人が企業のITシステムへのアクセス権を保有し続けることができた。
オンラインホスティング企業から双子の兄弟が解雇された後、米国連邦データベースが報復削除された事件は、ITおよびHRのリーダーに対して、インサイダー攻撃を防ぐために厳格なオフボーディング手順を導入する必要があることをもう一度思い出させてくれます。
不満を持つ現在または元従業員からの破壊的な攻撃は珍しくありません。しかし、先週バージニア州の陪審団による兄弟の一人の有罪判決は、ITプロフェッショナルとCEOが心に留めておく必要のある多くの問題を提起しています。
連邦陪審団は、アレクサンドリア、バージニア州のソハイブ・アクター(Sohaib Akhter)、34歳を、コンピュータ詐欺の陰謀、パスワード不正取引、禁止者による銃火器所有の容疑で有罪と認定しました。彼は9月に判決を受けます。そして先月、彼の兄弟であるムニーブ(Muneeb)は、彼に対する複数の容疑に応じて、兄弟の活動に関する合意された事実声明に署名しました。しかし、Free Law ProjectのコートデータアーカイブであるThe Court Listenerから提供された事件の文書によると、ムニーブは現在容疑を却下することを試みています。
それでも、この事件はEnderle Group(エンダーレ・グループ)の専門家であるロバート・エンダーレに、「これは警告となるべきです。組織は内部統制を厳しくするだけでなく、AIツールがどのように兵器化される可能性があるかを考慮し始める必要があり、これらのAIツールは現在よりもはるかに強力な保護が必要です。」と述べさせました。
事実声明
ムニーブが合意した事実声明によれば、彼と兄弟のソハイブは、ワシントンDCの名前のない企業で働いており、その企業は45以上の米国政府機関にソフトウェアとサービスを提供していました。これには、一部の連邦政府クライアントのデータホスティングが含まれていました。これらには、米国平等雇用機会委員会(EEOC)、国土安全保障省、および内国歳入庁(IRS)が含まれていました。
2025年2月18日、両兄弟は、ソハイブが9年前に重罪で有罪判決を受けたことを会社が発見した後、その企業によって解雇されました。解雇後、彼らは両者ともコンピュータに不正にアクセスし、データベースを削除し、彼らの仕事の証拠を破壊することで、前の雇用主に危害を加えようとしたと疑われています。今年の事実声明で、ムニーブは96のデータベースを削除したことを認めました。
どうやって?2025年に解雇されてから5分後、ソハイブのVPNは切断されホスティング提供者へのアクセスを失いましたが、彼の兄弟はまだアクセス権を持っていました。兄弟たちはまた、会社が支給したラップトップを持っていました。彼らは仕事を始めました。
彼らの疑わしい破壊的な活動の一部として、ムニーブが目標を達成するために必要なデータベースコマンドを知らなかった場合、彼はAIツールの助けを求め、「データベースを削除した後、SQLサーバーからシステムログをどのようにクリアするか」と尋ね、その後「Microsoft Windows Server 2012からすべてのイベントおよびアプリケーションログをどのようにクリアするか」と尋ねました。合意された事実声明は明確ではありませんが、おそらくAIツールは公開チャットボットでした。
事実声明で、ムニーブは450人の連邦税務情報を含む仮想マシン上のIRS情報のコピーを盗んだことに同意しました。
ムニーブはまた、2025年5月から12月の間に、詐欺を犯し、4,500人のメールと他のオンラインアカウントへのアクセスを試みるためにEEOC公開ポータルの認証情報を盗んだことを認めました。数百のケースで、彼は被害者の許可なくメールアカウントに正常にログインしました。
インサイダー攻撃の状態
Mimecastからの人的リスク状況報告書によると、42%の組織は過去1年間に悪意のあるインサイダー事件の増加を経験しており、42%はまた初めてのうっかりな事件の増加を報告しています。
インサイダー脅威検出プロバイダーのDTEXによって委託されたPonemon Instituteによる今年の報告書によると、インサイダーリスクのコストについて、事件は去年平均1,950万ドルのコストを組織にもたらし、2024年の1,740万ドルから増加しました。
去年の損失の最大の原因(53%)はうっかりと間違いでした。しかし、2番目に大きな原因は悪意のある活動(27%)でした。
DTEXのシニア・プリンシパル・インサイダー脅威アナリストであるムサ・イシャックは、先週の判決は「終了がリスクの終わりではなく、多くの場合、その始まりであることが明らかで厳粛な思い出させてくれます。」と述べました。
オフボーディングの時間は「組織のセキュリティ態勢における最も危険なウィンドウの一つです」と彼は述べ、「それは依然として最も過小評価されています。自発的に退職するか解雇されるかにかかわらず、すべての退職する従業員は、リアルタイムで処理する必要がある現在のリスク事象を表しています。それは、翌日に完了するチェックリストではなく、即時のアクセス取り消し、アクティブなセッション終了、およびアクティブな監視を意味します。これらの手順が失敗した場合、または単一のアクセス経路が開いたままになっている場合、この事件が示すように、結果は壊滅的である可能性があります。」
「AIは攻撃者に新しい機能を与えませんでした」
同様に重要なことは、この事件がインサイダー脅威の加速におけるAIの役割について明らかにしていることです。「AIは彼らに新しい機能を与えませんでした。彼らはすでにアクセスと意図を持っていました。それが行ったことは、彼らの決定サイクルを圧縮し、数分の研究がかかるかもしれなかったことを数秒の実行に変えることでした。新しい脅威の現実は、AIが悪意のあるインサイダーを作成しませんが、防御者が対応できる前に彼らが達成できることを劇的に増幅することです。」
その結果、組織はプロアクティブでリスク適応型のセキュリティアプローチにシフトする必要があります。特権ユーザーが会社が所有または制御するコンピュータを通じてAIツールにログ回避技術のクエリを実行しながら同時に本番サーバーで破壊的なコマンドを実行することはエスカレーション信号です。「行動可視性、単なる技術的制御だけでなく、セキュリティチームがそのパターンを検出し、削除が破壊になる前に行動することを可能にします。」と彼は述べました。
「この事件は、AIが有効な世界でインサイダー脅威がどのように見えるかのプレビューであり、ガバナンスギャップが存在する場合、より速く、追跡するのが難しく、はるかに重大な結果をもたらします」と彼は述べました。「そのため、厳格なアクセス制御、リアルタイムのオフボーディングプロトコル、および特権ユーザーの層状監視を含く基礎は、これまで以上に重要です。」
プロセスを再考する必要性の「教科書的な例」
エンダーレは同意しました。彼はこの事件が「オフボーディングプロセスのスピードとプロセスを再考する必要がある理由の教科書的な例です。元従業員が終了後に政府データベースにアクセスして削除できたという事実は、基本的なアクセス制御の大規模な失敗を強調しています。現代的なエンタープライズでは、アクセス取り消しは瞬間的、自動的、包括的である必要があります。解雇とロックアウトの間のギャップは、重大な責任のウィンドウです。」と述べました。
最も不安な側面は、AIが果たした役割です。「システムログをクリアするための指示を求めるためにAIツールを使用することは、高度なデジタルサボタージュへの参入障壁が低下していることの明らかな信号です」とエンダーレは述べました。「AIが悪意のある意図のための力の倍数として行動できる時代に入っています。個人が自分の足跡をカバーするのが簡単になります。AIの保護さえもバイパスされることができます。最近YouTubeで爆弾を準備することについて公開AIサイトに質問を再度尋ねたユーザーのデモンストレーションを見ました。AIが「いいえ」と言って諦めて答えを提供するまで。」
「SQLログをクリアする方法」のようなクエリは正当な管理目的を持っていると、彼は認めました。しかし、彼は付け加えて、AIプロバイダーは単純なキーワードフィルタリングを超えて、攻撃チェーンを識別できる意図認識の保護を実装する必要があります。
「プロンプトのシーケンスが技術的好奇心から証拠を破壊し、ログを難読化するためのロードマップに移動するとき、AIは悪意のあるコンテキストを認識し、リクエストを拒否する必要があります」とエンダーレは議論しました。
「最終的に」と彼は警告しました。「AIプロバイダーがプラットフォームが犯罪活動のための「ハウツー」マニュアルになることを防ぐ責任を取らない場合、規制上の反発と、彼らが推進しようとしている非常に革新を抑制する可能性のある民事および刑事責任のリスクがあります。」
