セキュリティのプロが業務時間外にまさかのサイバー攻撃 企業が取れる防止策は：性善説は機能しない？

Reutersは、サイバーセキュリティの専門家3人がランサムウェア攻撃への関与で起訴されたと報じた。業務の空き時間に他社を恐喝していたという。防止策はあるのか。

[Alex Scroxton，TechTarget]

　情報サービス企業Thomson Reutersのニュース部門Reutersは2025年11月3日（米国東部標準時）、業務時間外にランサムウェア（身代金要求型ウイルス）を利用して複数の組織を恐喝していた可能性があるセキュリティ専門家3人を、米司法省（DOJ：Department of Justice）が起訴したと報じた。使用されたランサムウェアは「BlackCat」（別名「ALPHV」）だ。

　セキュリティの専門家が業務時間外にランサムウェア攻撃に加担する――。こうした脅威に対して企業が取れる防止策とは。

「防御のプロ」が「攻撃者」に

併せて読みたいお薦め記事

セキュリティチームのつくり方

• セキュリティを担う「専門チーム」はどうあるべき？ 役割と具体的な業務内容
• 「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは

　起訴状によると、この3人は米国の診療所とエンジニアリング会社、医療機器メーカー、製薬企業、ドローン製造会社の5組織を標的とした。

　3人は標的のネットワークに不正侵入してデータを窃取した後、ランサムウェアを実行。30万〜1000万ドルの身代金を要求し、少なくとも127万ドル相当を暗号資産で受け取ったとされている。

　米連邦捜査局（FBI）の供述書では、犯行は2023年5月に始まった。犯人の一人は、BlackCatのアフィリエイトアカウント（攻撃実行用のアカウント）を取得して他の2人と共有。ランサムウェアグループに分け前を支払った後、利益を3人で分配した。獲得した資金は、資金の保有者の匿名性を高めるミキシングサービスや複数の暗号資産ウォレット（仮想財布）を使って資金洗浄していたという。

　FBIの事情聴取に対して犯人の一人は、借金返済のために他の犯人に誘われて参加したと供述した。

社内の脅威をどう防ぐか

　セキュリティベンダーCyberSmartのCEOジェイミー・アクター氏は、この事件について「セキュリティ分野でも極めて異例」だと評価した。同氏は特に、加害者が自社ではなく外部組織を標的とした点に注目する。

　「内部脅威は業種を問わず知られたリスクだが、サイバーセキュリティ専門家が職場で培ったスキルを悪用するケースはより深刻な脅威になる」とアクター氏は述べる。

　これに加えてアクター氏は、「セキュリティベンダーであっても、全従業員が善意を持っているとは限らない。技術系職種は高いスキルと協力なアクセス権限を持ち、そのような権限が管理不足の状態は、重大なリスクになり得る」と警鐘を鳴らす。

　アクター氏は、信頼を前提としつつも、その検証が不可欠だと指摘する。「厳格なアクセス制御や行動のレビュー、従業員の心理的なサポート体制を含め、リスクマネジメント全体を見直す必要がある」と結んだ。