IT関連業界で2024年にたぶん最もしくじった事例の一つ。業務用のPCを私用に使うとヤバい
1968年に起きた3億円盗難事件は未解決のまま長らく語られてきた。
今では482億円を盗まれても大事件にならないのは、それが暗号通貨だからだろうか。あるいはアメリカの大富豪たちの資産額をたびたび聞かされるせいだろうか。
暗号資産交換業DMMビットコイン(東京)から今年5月、約482億円相当のビットコインが流出した事件について、警察庁と米連邦捜査局(FBI)は日本時間24日、北朝鮮の軍傘下の組織による窃取と特定したと発表した。
犯人は、被害企業の従業員に「リンクトイン」を使ってリクルーターを名乗り、採用前の試験だと偽ってURLに仕込んだ不正プログラムをPCにダウンロードさせた。
犯行グループは今年3月、DMMが暗号資産の取引管理を委託していた暗号資産ソフト会社「Ginco」(東京)の従業員にビジネス向けSNS「リンクトイン」で「あなたのスキルに感銘を受けた」などと、リクルーターになりすまして接触した。採用前の試験を装ってURLを送って不正プログラムを仕込み、アクセス権限を乗っ取ってGincoのシステムに侵入。5月31日、DMMの取引内容を改ざんして約482億円相当を流出させて盗んだとされる。
リンクトインは、就職希望者に人気のあるSNSだ。
リンクトインでは、利用者がビジネス専用のプロフィールを作成し、サービスの中でビジネスのつながりを広げ、ビジネスパートナーや人材を探したり、営業先の顧客や商談先、専門家などと直接コンタクトを取ることができる。世界では1億2,200万人のユーザーがリンクトインを介して仕事の面接を受けており、この内3,500万人がリンクトインのオンライン接続により雇用されている
「あなたのスキルに感銘を受けた」と言われて気が緩んだのかどうかわからないが、この従業員の落ち度は、犯人が望んだ思う通りに、業務で使うPCに不正プログラムを入れてしまった、ということだろう。
仕事用と私用のPCを分けないと、こういうことが起きる。その結果、DMMビットコインは廃業することになった。このうかつな従業員や上司はどのように責任をとらされたのだろうか。
このような事件があると思い出すことがある。バグのあるファイル共有ソフトが流行っていた頃だ。
ある人が、業務で使うファイルを自宅に持ち帰り、家族共用のPCにそれを入れて仕事をしていた。
しかし、家族の一人が、ファイル共有ソフトをそのPCで動かしたため、そのファイルが外部に流出した。
これにより取引先との関係が悪化したその会社は、winnyとかwinxとか、企業名とかを検索キーとしてPCのすべてのファイル情報を照合するプログラムを作って、グループ企業全体の社員および関係者の私有PCでそのプログラムを走らせるよう強制した。
今もし同様のことが起きたら、こういう腹立ちまぎれの対抗策をとる企業はあるだろうか?
いっとき、BYOD(Bring Your Own Device)という言葉が流行った。
一般的に、BYODは従業員が個人で所有するパソコンやスマートフォン、タブレットなどの端末を業務に活用することを指します。
在宅勤務やテレワークなどが普及するなかでは、会社所有の端末を社員へ貸与するよりも、BYODを導入したほうが、利便性が高くなるケースも見られます。
この記事で紹介されている、2018年に総務省が行った調査によると、BYODを許可している企業の国別割合は、このようだった。
日本:10.5%
アメリカ:23.3%
イギリス:27.8%
ドイツ:27.9%
「あの病気」の経験を経て、BYODを導入する企業は増えただろうか。
こういう事件があると、データ流出の危険性が高まるBYODをわざわざ導入する企業は増えないだろう。それに最近この言葉はあまり聞かない。
This is probably one of the biggest blunders in the IT industry this year. Using a work PC for personal use is dangerous.
The theft of 300 million yen that occurred in 1968 has long been talked about, remaining unsolved.
Theft of 48.2 billion yen now would not be a big deal, perhaps because it was cryptocurrency. Or perhaps because we are so used to hearing about the net worth of America's wealthiest people.
The perpetrator used LinkedIn to pose as a recruiter to employees of the victim companies and get them to download malicious code hidden in a URL onto their PCs, under the guise of a pre-employment test.
LinkedIn is a popular social networking site for job seekers.
It is unclear whether the employee let his guard down when he was told, "I'm impressed with your skills," but the employee's mistake was that he ended up installing malicious software on the employee's work PC, just as the perpetrator wanted.
This is what happens when you don't separate work and personal PCs. As a result, DMM Bitcoin went out of business. How were this careless employee and his/her superiors held accountable?
I remember an incident like this. It was around the time when buggy file sharing software was popular.
Someone brought a file to use for work home and put it on a PC shared by the family to work on. However, one of the family members ran file sharing software on the PC, and the file was leaked to the outside.
The company, whose relationship with its business partner had deteriorated as a result, created a program that collated all of the file information on PCs using search keys such as winny, winx, or the company name, and forced all employees and related parties in the group to run the program on their personal PCs.
If something similar were to happen today, is there any company that would take such an exasperated countermeasure?
For a while, the term BYOD (Bring Your Own Device) was popular.
According to a survey conducted by the Ministry of Internal Affairs and Communications in 2018, which is introduced in the article, the percentage of companies that allow BYOD by country is as follows: Japan: 10.5% America: 23.3% UK: 27.8% Germany: 27.9%
After the experience of "that disease," has the number of companies introducing BYOD increased? With incidents like this, the number of companies that will bother to introduce BYOD, which increases the risk of data leakage, is unlikely to increase. And I haven't heard this term much recently.