Rob Juncker、チーフプロダクトオフィサー、Mimecast
2025年7月15日
読了時間:5分
出典: Panther Media Global(Alamy Stock Photo経由)
論説
「内部脅威」と聞いて、何を思い浮かべますか?辞める前にファイルを盗む不正社員?もっと大きく考えてください。現実はそれ以上に深刻です。今日の内部脅威は、単なる逆恨みの一匹狼ではありません。彼らは、洗練された組織犯罪ネットワークの手先となっています。これらのグループは、システムの脆弱性だけでなく、あなたの「人」を悪用し、信頼されたチームメンバーを知らぬ間に、あるいは意図的に共犯者へと変えてしまうのです。
これが、セキュリティリーダーが直面しなければならない現実です。犯罪ネットワークは内部に工作員を潜り込ませ、従業員を脅迫し、最先端の手法を使って組織内部から侵入を図っています。
内部者悪用の新時代
今日の攻撃者は、内部者を育成し、内部からアクセスを操作しています。米国当局は最近、大規模なキャンペーンを明らかにしました。これは、北朝鮮のIT労働者がリモート契約者を装い、米国の数百のテクノロジー企業(フォーチュン500企業を含む)に就職していたというものです。盗まれた身分証明書、偽造された資格、AI生成のプロフィール写真を使い、これらの工作員は企業環境に潜入し、数百万ドルの収益を北朝鮮の兵器開発資金に流していました。このIT労働者詐欺は数年前から始まりましたが、世界的に拡大しており、ドイツ、ポルトガル、英国などが新たな標的となっていると、Google Threat Intelligence Group(GTIG)の研究者は述べています。
犯罪系ランサムウェアグループも内部者を直接標的にしています。脅威研究者によれば、LockBitや、最近ではあまり知られていないDoNexのようなギャングが、従業員に賄賂を持ちかけ、会社のネットワークにマルウェアをインストールさせようとしています。これらのオファーは、匿名メッセージやランサムウェア攻撃時の直接通知、ダークウェブのフォーラムなどを通じて、経済的に困窮している従業員や高い権限を持つ従業員を狙っています。
他の攻撃者は心理的な操作を使い、内部者が自覚しないままに妥協させます。2023年のMGMリゾーツの侵害では、Scattered SpiderグループのメンバーがITサポート担当者を装い、ソーシャルエンジニアリングで従業員に資格情報のリセットとマルウェアの無意識な導入を促しました。信頼されたヘルプデスク手順を模倣することで、攻撃者は技術的な制御を回避し、環境への足がかりを得たのです。
これらの事例は、増加傾向を示しています。外部の攻撃者はもはや境界突破だけに注力していません。内部アクセスを持つ人々を標的にしているのです。
内部者勧誘の手口
犯罪ネットワークは、内部者を標的にするためにさまざまな手法を使います:
-
金銭的インセンティブ:経済的不安や賃金停滞の時代、リンクをクリックするだけで6桁の報酬が得られるとなれば、誘惑に抗うのは難しいでしょう。
-
脅迫・強要:盗まれた個人情報が武器となり、従業員に従わせるために脅しに使われます。
-
匿名化ツール:ダークウェブや暗号化メッセージアプリにより、リクルーターと内部者は発覚を恐れずに連絡を取ることができます。
-
感情的な操作:ソーシャルエンジニアリングは、ユーザーにフィッシングリンクをクリックさせるだけでなく、心理的な脆弱性を突いて潜在的な共犯者との関係を築くことも含まれます。
従来のフィッシングキャンペーンとは異なり、これらの取り組みはパーソナライズされ、執拗で、ますますプロフェッショナルになっています。そして、LinkedInのメッセージやフリーランスのギグプラットフォーム、求人掲示板など、一見正当なデジタル空間から始まることが多いため、発見が困難です。
しっかりしたセキュリティポリシーを持つ組織でさえ、不意を突かれることがあります。採用時の従業員審査は必要ですが、それだけでは不十分です。人の状況は変化し、動機も変わります。また、リスク行動を検知する従来のツールでは、組織犯罪との内部協力を示す緩慢で計画的な行動を見逃しがちです。
新たな内部脅威を抑止する現代的戦略
従業員を操作したり組織に潜入したりする犯罪ネットワークに対しては、従来の方法では太刀打ちできません。企業は防御策を見直し、侵害を防ぐだけでなく、現代の敵対者の複雑な手口を予測し対抗する必要があります。組織がこれらの脅威に対してより積極的かつ効果的な対策を講じる方法は以下の通りです:
受動的監視から能動的監視へ
行動分析やユーザーアクティビティ監視により、「通常」の行動のベースラインを確立し、異常なファイルアクセスパターンや勤務時間外のデータ持ち出しなどの逸脱を特定できます。これらの異常を早期に発見することで、侵害を未然に防ぐことができます。
境界だけでなくデータ自体を守る
セキュリティチームは、デバイスベースのポリシーだけに注力するのではなく、データの価値を理解することを優先すべきです。10KBの機密ソースコードファイルは、10GBの動画よりも大きな損害をもたらす場合があります。製品設計や企業秘密などの高価値な非構造化データには、より強力な管理と可視性が必要です。
誠実さと心理的安全性の文化を醸成する
従業員が大切にされ、支援されていると感じる環境では、悪意ある行為に誘惑されたり強要されたりする可能性が低くなります。セキュリティは技術的な問題だけでなく、文化的な問題でもあります。従業員が外部の勧誘を含む不審な行動を報告しやすく、報復を恐れない環境を作りましょう。正しい行動を取ることが、間違った行動よりも容易になるようにしてください。
ゼロトラスト原則を強化する
役職や地位に関係なく、誰もが機密システムやデータへの無制限アクセスを持つべきではありません。最小権限アクセスの実施、権限の定期的な再確認、すべての接続の検証を行い、常に厳格なセキュリティ管理を維持しましょう。
協力とリスク評価も再考が必要
内部脅威への対処には、内部の警戒だけでなく、協力的な行動と率直な自己評価が求められます。評判リスクを恐れて外部との連携をためらう企業は、重要な機会を逃しているかもしれません。インテリジェンス共有はもはや選択肢ではなく、生き残りのための戦術です。法執行機関、業界団体、民間企業の連携により、すでに大規模なサイバー犯罪作戦が阻止されています。知見を集約し、勧誘パターンを明らかにすることで、単独で対応するよりも迅速かつ効果的に脅威を抑止できます。
あらゆる組織が自らの脆弱性を厳しく見直す必要もあります。最も機密性の高いデータにアクセスできる部門や個人は誰か、そのアクセス権は正当か、従業員に犯罪者が内部者を勧誘する手口を教育しているか、不審な行動を安全かつ容易に報告できる環境を構築しているか、といった重要な問いを自問しましょう。
内部脅威は進化しています。私たちの防御も進化しなければなりません。犯罪ネットワークは急速に適応しており、企業が追いつけないと踏んでいます。従業員を潜在的な脅威とみなすのではなく、最強の防御線にすることで、彼らの予想を覆しましょう。