また、そうしたリスクは想定されていたものの、全社的なリスクマネジメントにおける緊急性の低さから長い期間にわたり「受容」または「放置」されており、そのツケが今になってじわじわとボディーブローのように効いてきた感じがする。
機密情報に関する管理の甘さから、外国の諜報活動を主導する専門部隊をして「スパイ天国」と言わしめる日本。この対処が甘くなる背景には、一体何があるのか。その一つと考えられるのが、「ソーシャルエンジニアリング」だ。
清掃業者になりすまし?望遠鏡で盗撮?
「ソーシャルエンジニアリング」とは
「ソーシャルエンジニアリング」とは、人間の心理的な隙や、行動のミスにつけ込んで個人、組織、団体が持つ機密情報を入手する方法で、悪意ある人がターゲットに意図的に近づいて陥れる攻撃の一つ。技術的な知識が不要で誰でも被害に遭う可能性がある。
過去においては、清掃業者のふりをして社内に入り込みシュレッダーにかけられた機密情報の断片を盗取したり、社内に関係者として入り込み、社内の内線からシステムのチェックと言って相手を信じ込ませ、標的となる人物のパソコンのID・パスワードを聞き出したりしたケースがある。その他、重要な戦略会議の場所・時間を巧みに聞き出し、対面のビルから望遠鏡でホワイトボードやプロジェクターの画面を盗撮するなど、少々笑える古くさい所業が目立っていた。しかし、最近発表された化学メーカーの事例は、巧妙かつ組織的であった。
LinkedInを利用した
営業秘密情報の持ち出し事件が発生
2020年10月13日、大阪府警は不正競争防止法違反の容疑で積水化学の元社員を書類送検した。元社員は在職当時、中国企業へ自社の営業秘密に当たる情報を漏洩した疑いが持たれていた。犯行は半年前から行われ、営業秘密に該当する技術情報を中国企業の社員にメールで送信した疑いがある。書類送検の容疑は、不正競争防止法違反(営業秘密の領得、開示)。元社員は技術開発部門で勤務、営業秘密にアクセスが可能であった。
犯行手口は、以下のようなものだった。元社員は当時勤務していた社内サーバーから私物のUSBメモリにコピーし営業秘密情報を不正に入手。その後、私用PCとフリーメールを用いて2回にわたり中国企業へ送信していた。
一方の中国企業は元社員に対し、SNSのLinkedInを使って接触を図っていた。元社員は、LinkedIn上で氏名、社名の他、導電性微粒子の研究に関わっていたことを公開していたことが判明している。