ランサムウェア｢手当たり次第の攻撃｣への備え方 業務委託や社員からの情報漏洩も後を絶たない

ただし、EDRの導入と運用には費用がかかるため、EDRの導入が難しい場合は、社員に対するメールの添付ファイルを安易に開かないなどの教育の徹底から始めるとよいだろう。

ベネッセ事件の教訓から得られること

2023年10月17日、NTTビジネスソリューションズは、元派遣社員が顧客情報を不正に持ち出していたことを発表した。

NTTビジネスソリューションズから出されたおわび（編集部撮影）

元派遣社員は、2013年から同社がシステム運用を担当するコールセンターシステムにある顧客情報を継続的に持ち出していたと見られる。このシステムの運用保守を担当していたのが、元派遣社員だった。持ち出された個人情報は約928万件と発表されている。

こうした大量の個人情報を扱うシステムの保守を担当するエンジニアが、個人情報を持ち出す事件は初めてのことではない。

2014年7月9日、通信教育大手のベネッセコーポレーションは、同社が保管する個人情報が最大約2070万件漏洩したと発表した（以下、ベネッセ事件）。7月17日には、同社システムの保守を担当する派遣社員のエンジニアが逮捕された。

この2つの事件は類似性が高いが、仔細に見ていくともともとの管理レベルに違いがあったことがわかる。

ベネッセ事件では、SEが利用するパソコンはシステム的にUSBメモリーの利用が制限されていたが、元SEがスマホを充電するためパソコンにUSB接続したところ、偶然にもデータをスマホにコピーできることに気づき、情報を持ち出すのに使った。

一方、NTTビジネスソリューションズが保守を担当していたコールセンターシステムでは、容疑者はUSBメモリーを用いて情報を持ち出したとされていることから、USBメモリーの利用は制限されていなかったとみられる。

ベネッセ事件は個人情報漏洩事件として有名なので、企業のセキュリティ施策を検討するうえで参考にする場合が多いのだが、残念ながらベネッセ事件の教訓が生かされていなかったと言わざるをえない。