正直「やはりね」と思う調査結果だった。世界中でランサムウェア攻撃が増えていて、VPNの脆弱性を突いて侵入、ADサーバーのパスワード管理の甘さから管理者権限を奪取して犯行に及ぶという手口が目立った。VPNの脆弱性はともかく、ADサーバー管理はそんなに甘いものだったろうかといぶかっていたのだが、内部犯行がからんでくるとなるとうなずけるものがある。
アサヒGHDを攻撃した凶悪集団「Qilin」、企業の“中の人”を積極採用中:インシデント対応のプロすら抱き込む「RaaS」の闇 - TechTargetジャパン セキュリティ
犯罪集団「Qilin」は、企業の従業員やセキュリティ専門家をリクルートしていたという調査結果を、あるセキュリティベンダーが公表したとの記事である。内部に協力者がいれば、完全に外部からだけ種々の調査を行い、仕掛けをするよりは犯行は容易になる。
北朝鮮が「IT Worker」を欧米などの企業に送りこんでいた動機の一つも、内部犯行を容易にするためだった(*1)。ある大手企業は、分析の結果「内部からの脅威が9割を占める」として、社内管理を徹底させていた(*2)。
犯罪者側から見れば、RaaSと呼ばれるレンタル型のランサムウェア攻撃ツールや関連情報(脆弱性等)などのサービスと同様、共犯者すらテンポラリで調達できるわけだ。トクリュウこと匿名流動型犯罪(*3)と同じで、事案の度に集まり散っていく犯罪集団ということである。
それでは、防御側はどうやって守ればいいのだろうか?能動的防御というなら、犯罪者同士がコミュニケーションを取っている秘匿性の高いSNSや、闇Webなどを探索することはある。ただ一般的な企業では、これは難しいだろう。やはりある程度従業員(含むリモートワーカーや臨時社員)の挙動を見る必要がある。監視するというのではなく、うっかりを含めて貴方を護るために見守っていますよとして。
*1:北朝鮮「IT Worker」の脅威(前編) - 梶浦敏範【公式】ブログ
