海外における個人情報流出事件とその対応「解雇された従業員がグッチのシステムに不正侵入」（1）売り上げで数千ドル、合計20万ドルの損害

●解雇された従業員がグッチのシステムに不正侵入
4月4日、ニューヨーク郡地方検事局が、グッチ・アメリカの企業コンピュータネットワークにアクセス、不正に処理を行ったとして、34歳のSAM CHIHLUNG YINを起訴したと発表した。YINは、イタリアの高級ファッションブランドであるグッチ製品を、アメリカで正規輸入販売するグッチ・アメリカでネットワークエンジニアとして働いていた。

裁判所に提出された書類によると、グッチはVPNソフトウェアを使用するのではなく、USBトークンをコンピュータに接続することで、従業員にVPNへのリモートアクセス権限を与えていた。Yinは雇用されている間、つまり解雇になる前に、架空の従業員名義でUSBトークンを作っていたという。

Yinは2010年5月に他の理由からグッチから解雇されているが、その際、VPNへアクセスするためのトークンを会社に返却せず、そのまま持っていた。そして6月に架空の身元を用いて、IT部門のメンバー宛てにメールを送付。そのUSBトークンのアクセス権を有効にして、利用できるようにした。

その後、Yinは社員としてグッチで勤務していたときに、職務上、情報を得ていたグッチのネットワークコンフィギュレーションとアドミニストレータ用のパスワードを用いて、ネットワークへのアクセス権限を獲得してしまった。ほぼ無制限のアクセスが可能だったとされている。

YINが不正にアクセスして行ったのは、
・2010年11月12日、VPNで2時間にわたりネットワークにアクセス
・その間、バーチャルサーバを複数削除して、ストレージエリアネットワーク（Storage Area Network：SAN）をシャットダウン
・同時にメールサーバから企業のメールボックスを含むディスクを削除
などだ。

これらにより、グッチのシステム管理部門は大混乱となり、ITスタッフがシステムオペレーションを復旧するのに丸一日かかった。また、影響が続き、その後数か月にわたり、グッチは金銭面ほかの被害を受けた。

●売り上げで数千ドル、合計20万ドルの損害
これらの影響により、グッチのスタッフはネットワークに保管していた文書、ファイル、その他資料にアクセスできなくなった。またメールサーバからのデータが破壊されたことで、グッチスタッフだけでなく全米のストアマネージャーやEコマースからのメールアクセスが遮断された。売り上げにおける損害は数千ドルにのぼったという。

グッチが文書とメールへのアクセスを失った時間も、24時間近くになったとされている。一部の文書やメールは完全に削除されてしまった。これらの結果、生産性が落ちたほか、復旧、修復などの作業で、グッチは20万ドル以上の損失を受けたという。

Yinの罪状はコンピュータの不正変更, 個人情報盗難、事業記録の改ざん、コンピュータ（システム）への不正侵入、コンピュータ関連資料の犯罪上での所有や不法なコピー、権限なしでのコンピュータの使用など、合計50件だ。これらの罪により最高15年の懲役判決を受ける可能性がある。

事件については、ソフォスのGraham Cluley氏がブログ「NakedSecurity」に書いている。スタッフが職を離れるときには、ユーザデータベースを調べて不審なものは除くこと、そしてパスワード変更、アクセス権のリセットを行うことの重要さを示したとして、企業や組織に対策を立てておくことを勧めている。

「スタッフは常に入れ替わるもので、そのほとんどは、前の職場にログインして、損害を与えようとは思いません。しかし、

※本記事は有料購読会員に全文を配信しました

バンクーバー新報　西川桂子