●解雇された従業員がグッチのシステムに不正侵入4月4日、ニューヨーク郡地方検事局が、グッチ・アメリカの企業コンピュータネットワークにアクセス、不正に処理を行ったとして、34歳のSAM CHIHLUNG YINを起訴したと発表した。YINは、イタリアの高級ファッションブランドであるグッチ製品を、アメリカで正規輸入販売するグッチ・アメリカでネットワークエンジニアとして働いていた。裁判所に提出された書類によると、グッチはVPNソフトウェアを使用するのではなく、USBトークンをコンピュータに接続することで、従業員にVPNへのリモートアクセス権限を与えていた。Yinは雇用されている間、つまり解雇になる前に、架空の従業員名義でUSBトークンを作っていたという。Yinは2010年5月に他の理由からグッチから解雇されているが、その際、VPNへアクセスするためのトークンを会社に返却せず、そのまま持っていた。そして6月に架空の身元を用いて、IT部門のメンバー宛てにメールを送付。そのUSBトークンのアクセス権を有効にして、利用できるようにした。その後、Yinは社員としてグッチで勤務していたときに、職務上、情報を得ていたグッチのネットワークコンフィギュレーションとアドミニストレータ用のパスワードを用いて、ネットワークへのアクセス権限を獲得してしまった。ほぼ無制限のアクセスが可能だったとされている。YINが不正にアクセスして行ったのは、・2010年11月12日、VPNで2時間にわたりネットワークにアクセス・その間、バーチャルサーバを複数削除して、ストレージエリアネットワーク(Storage Area Network:SAN)をシャットダウン・同時にメールサーバから企業のメールボックスを含むディスクを削除などだ。これらにより、グッチのシステム管理部門は大混乱となり、ITスタッフがシステムオペレーションを復旧するのに丸一日かかった。また、影響が続き、その後数か月にわたり、グッチは金銭面ほかの被害を受けた。●売り上げで数千ドル、合計20万ドルの損害これらの影響により、グッチのスタッフはネットワークに保管していた文書、ファイル、その他資料にアクセスできなくなった。またメールサーバからのデータが破壊されたことで、グッチスタッフだけでなく全米のストアマネージャーやEコマースからのメールアクセスが遮断された。売り上げにおける損害は数千ドルにのぼったという。グッチが文書とメールへのアクセスを失った時間も、24時間近くになったとされている。一部の文書やメールは完全に削除されてしまった。これらの結果、生産性が落ちたほか、復旧、修復などの作業で、グッチは20万ドル以上の損失を受けたという。Yinの罪状はコンピュータの不正変更, 個人情報盗難、事業記録の改ざん、コンピュータ(システム)への不正侵入、コンピュータ関連資料の犯罪上での所有や不法なコピー、権限なしでのコンピュータの使用など、合計50件だ。これらの罪により最高15年の懲役判決を受ける可能性がある。事件については、ソフォスのGraham Cluley氏がブログ「NakedSecurity」に書いている。スタッフが職を離れるときには、ユーザデータベースを調べて不審なものは除くこと、そしてパスワード変更、アクセス権のリセットを行うことの重要さを示したとして、企業や組織に対策を立てておくことを勧めている。「スタッフは常に入れ替わるもので、そのほとんどは、前の職場にログインして、損害を与えようとは思いません。しかし、※本記事は有料購読会員に全文を配信しましたバンクーバー新報 西川桂子
