セキュリティ企業従業員によるランサム攻撃｜業者選定の重要性を解説

2025年1月、米国で衝撃的なサイバー犯罪事件が明るみになりました。

ランサムウェア攻撃の被害企業を支援するはずのセキュリティ企業の従業員が、企業システムに不正アクセスして多額を脅しとったという事件です。

この事件は、セキュリティ対策を提供する私たちのような企業にとっても、そしてセキュリティサービスを利用する企業にとっても、重要な教訓を示しています。

この記事ではセキュリティ対策に実施している探偵事務所がこのニュースを解説します。

今回の事件で最も恐ろしいのは、セキュリティ企業の従業員という立場を悪用した犯行だという点です。

マーティン被告が勤務していたデジタルミント社は、ランサムウェア被害企業の復旧支援や身代金支払いの支援を行う企業でした。

つまり、被害企業の最も脆弱な状態、システムの詳細情報、セキュリティの弱点などを知り得る立場にいたのです。

この「信頼された立場」が悪用されると、外部からの攻撃よりも深刻な被害をもたらします。

正規の業務として企業の重要システムにアクセスできる権限を持ち、正当な業務活動として不審な行動が見過ごされやすいからです。

さらに、セキュリティの穴を見つけ効果的に攻撃する専門知識を持ち、システムログの操作など証拠隠滅の方法も熟知しています。

この事件を踏まえ、セキュリティサービスを提供する私たちが、お客様に業者選定で注意していただきたいポイントをお伝えします。

セキュリティ企業が従業員採用時に、厳格な身元調査を行っているかは重要です。

犯罪歴のチェック体制、過去の職歴の詳細な確認プロセス、定期的な再審査の有無などを確認する必要があります。

単に採用時だけでなく、継続的に従業員の適格性を評価している企業を選ぶべきです。

従業員の行動を適切に監視・監査する仕組みがあるかを確認しましょう。

具体的には、従業員のシステムアクセスログを記録・監査する体制や、不審な行動を検知するAI・システムの導入状況などがあげられます。

また、定期的な内部監査の実施や第三者機関による外部監査を受け入れているかも、健全な企業かを測る重要な指標となります。

万が一の事態に備えた体制が整っているかも見逃せません。

インシデント発生時の責任範囲の明確化、損害賠償の上限と補償内容、緊急時の連絡体制と対応スピードなど事前に確認しておきましょう。

いざという時の被害を最小限に抑えることができます。

セキュリティサービスの選定において、予算は重要な要素です。

しかし、価格だけで業者を選ぶことは危険です。

今回の事件の被害企業は、信頼してセキュリティ企業に依頼し、復旧支援を受けていたはずです。

しかし、その信頼していた相手が実は攻撃者本人だったのです。

約2億円という巨額の身代金を支払った被害企業の損失は、金銭的なものだけでなく、信頼の喪失、ブランドイメージの毀損、顧客離れなど、計り知れません。

安価なサービスには、さまざまなリスクが潜んでいる可能性があります。

従業員の待遇が悪く、モチベーション低下や不正の温床となっているかもしれません。

コスト削減のため、適切な身元調査や内部監査が省略されている可能性もあります。

また、技術者の教育・トレーニングが不十分だったり、セキュリティ認証取得のコストを削減していたりする場合もあるでしょう。

セキュリティ対策は、企業の生命線を守る投資です。

目先のコスト削減が、後に取り返しのつかない大きな損失を招く可能性があることを忘れてはいけません。