海外における個人情報流出事件とその対応第201回契約警備員が病院のITシステムに侵入 (2)契約社員、委託会社社員による情報漏えい

●契約打ち切りでパイプラインシステムを攻撃

　重要システムに契約社員が攻撃を行うケースは他にもある。3月にはロサンゼルスの大陪審が、石油パイプラインの漏れがないか監視するのに使用されていた重要なシステムに妨害工作を行ったとして28歳の男性を起訴している。この男性はカリフォルニア州在住のMario AzarでPacific Energy Resources Ltd. の、IT技術者としての契約社員だった。

　Pacific Energy Resources はロングビーチの石油・ガス探査を行う会社で、3カ所の海上プラットフォームを運営。プラットフォームは本土とパイプラインでつながっていた。Pacific Energy Resources は石油・オイル物件の取得、開発も行っている。

　起訴状によると、Azarはプラットフォームとコミュニケーションを行う、リモートテレメトリや、危険なガスや石油の漏れがないか監視するためのコンピュータシステム構築業務に就いていた。そして、Pacific Energy Resourcesのシステムで複数のアカウントを持っていた。

　Azarの契約は2008年5月8日で終了することになっていたため、正式採用を求めていた。しかし、Pacific Energy Resourcesは検討したものの、採用には至らず、契約終了としていた。

　この決定に怒ったAzarは、アカウントがまだ使用できた、2008年5月8日から6月29日の間に、南カリフォルニアの自宅からシステムにログオン。データの整合性と有効性を妨げ、重要システムの機能をかなりの期間にわたり不能としたものだ。契約終了日から1カ月以上もの間、アクセスが可能だったことも問題視された。

　プレスリリースでは、整合性と有効性という言葉を用いているが、ロサンゼルス連邦検察のスポークスマン、Thom Mrozekから話を聞いた『Wired.com』の報道では、石油やガス漏れの探知システムがオフラインになっていて、一定期間、操作不能だったということだ。

　起訴状では、被害額は5,000ドルとなっている。しかし、事件については連邦当局が重大視している。雇用主に不満を持つ従業員による、悪意あるハッキングの大半は、会社の内部コンピュータシステムに損害を与え、事業を妨害するものだ。しかし、Azarの事件では南部カリフォルニアの海岸線が環境災害の危険にあった。

●契約社員、委託会社社員によるリスク

　契約社員や契約請負会社のリスクは他にも報告されている。1月には、連邦住宅抵当公庫Fannie Maeを解雇された、インド国籍の契約社員が、ネットワークにウイルスを仕掛けたと報じられた。この社員は、解雇されるまでの3年間、Fannie Maeでコンピュータ技師として勤務していたRajendrasinh Makwanaだ。

　Fannie Maeは、正式名称、Federal National Mortgage Association（FNMA）で米国最大の住宅ローンの組織だ。民間金融機関から直接住宅ローン債権を買い取り、それをもとにしてモーゲージ証券の発行・保証を行っている。

　10月24日に解雇されたMakwanaは、1月31日付けで、Fannie Maeの4,000のサーバを破壊するように設定したマルウェアを仕掛けていた。マルウェアが実行されていると、1週間以上は業務ができなくなったほか、被害額は数百万ドルにのぼったと見られている。

　Makwanaの企ては、10月29日に発覚して、大事には至らなかった。Fannie Maeは解雇してすぐにFannie Maeのコンピュータアクセスを解除しなかった。解雇通知は10月24日の午後すぐだったが、身分証明とノートパソコンを約3時間半後に引き渡す前に、悪意あるコードを仕掛けたものだ。セキュリティ確保のため、退職になった社員のアクセスを解除することは常に言われているが、Makwanaの事件では、場合によっては、そのタイミングも重要である。すなわち解雇を通告するのと同時にアクセスを取り上げる必要性があることを証明している。

●ノースロップ・グラマンの重要文書をガーナで発見

　また、世界第3位の軍需企業で、米国政府から委託を受けているノースロップ・グラマンでも6月に情報漏えい事件が報告されている。25日付けのIDG News Serviceによると、世界の電子機器廃棄物市場の調査を行っていたジャーナリストが、ガーナでノースロップ・グラマンの重要文書が残ったコンピュータハードドライブを購入したというものだ。

　ハードドライブはバージニア州在住の、ノースロップ・グラマンの従業員のもので、数百にのぼる政府契約に関する文書が入っていた。発見したのは、Public Broadcasting Service のFrontlineという番組での調査を行っていた、カナダ、ブリティッシュ・コロンビア大学のPeter Klein准教授のグループだ。文書の詳細については明かさなかったが、国防情報局、NASA、運輸保安局の契約があったという。

　「文書の一部は、空港の所持品検査係りの採用方法についてで、データセキュリティ規定に関する内部情報もあった」とKlein准教授は説明する。データは暗号化されておらず、40米ドルで売られていた。

　ノースロップ・グラマンではハードドライブがガーナの市場に行き着いた経緯は判らないとしているが、PC処分に外部業者を使用したことを明らかにしている。声明では処分にPCを受け取った後で、業者から盗難された可能性も指摘している。

　事件を報じた「CSOonline.com」によると、「古いコンピュータや電子機器がガーナや中国などで不適切に廃棄されていて、データ盗難犯がこれらのデバイスやハードドライブから重要情報を獲得することはよくある」と、オフレコでガーナの情報筋は語っている。2008年、米国会計検査院Government Accountability Office でも、米国のゴミとなったコンピュータ機器のかなりの量が途上国に辿り着いていて、そこで危険な廃棄のされ方をしていると確認している。

　ゴミとしてだけでなく、請負業者からハードドライブが盗難されたケースは、2008年11月にも起こっている。アリゾナの経済安定部が商業用倉庫からハードドライブが盗まれたとして、4万人の子ども情報が漏えいした。ドライブはパスワードで保護されてはいたが、暗号化されていなかった。

●被害額が高い請負業者からの漏えい

　「techworld.com.au」は、Ponemonのレポートとして、請負業者からのセキュリティ侵害事件は、内部関係者の事件より被害額が高いと指摘している。内部関係者による事件の記録あたり、平均被害額が171ドルに対して、請負業者における事件では231ドルにのぼる。

　それだけでなく、年間コスト調査で、委託者、請負業者、コンサルタントによる情報漏えいは増加傾向にある。すなわち2008年、回答者の報告した全ての事件の44％を占め、この数字は2007年から4割増だった。また、ITRCの調査では、2008年の情報漏えいの1割が請負業者に関するものだ。

　そのため、セキュリティ業界では…

【執筆：バンクーバー新報西川桂子】

【関連記事】
SCAN DISPATCH ：クビになったシステム管理者の置き土産は、全サーバのデータを消去する「rm -rf 」論理爆弾！
https://www.netsecurity.ne.jp/2_12873.html