どのテクノロジー企業も、あなたのデータは安全だと謳っています。暗号化、アクセス制御、ゼロトラストアーキテクチャなど、あらゆるセキュリティ対策を講じていると(願わくば)言っています。しかし、それでも内部の誰かがスクリプトを作成して、あなたのプライベートな写真を盗み出すのです。
ロンドンを拠点とする元Meta従業員が刑事捜査を受けているのはそのためだ。彼は、約3万枚のプライベート画像をダウンロードしたとされている。 Facebook ユーザー。この事件はロンドン警視庁のサイバー犯罪対策班が担当している。
裁判資料によると、被告は単にサイトを閲覧しただけでなく、Metaの内部検出システムを回避するために設計された独自のスクリプトを作成したという。
メタの回答
Meta社は、1年以上前に情報漏洩を発見し、当該従業員を解雇し、影響を受けたユーザーに通知し、英国の法執行機関にこの件を通報したと述べている。容疑者は現在警察の保釈中で、5月に警察に出頭しなければならない。
Metaのデータ保護に関する実績は決して完璧とは言えません。2022年には、ケンブリッジ・アナリティカのスキャンダルに関する集団訴訟を和解するために7億2500万ドルを支払うことに合意しました。このスキャンダルでは、サードパーティの開発者が数百万人のデータを収集していました。 Facebook ユーザー。Metaに関する話が次々と浮上しており、プライバシーとユーザーの安全性について考える際に、私たちは立ち止まって考えざるを得ません。例えば、 Facebook エンジニアたちは、ユーザーデータがどこに保存されているのかさえ知らなかったと認めた。
不正な内部関係者
こうした事態は後を絶たない。フィンワイズ銀行は昨年、元従業員が68万9000人分の顧客記録に不正アクセスした可能性があることを明らかにした。この情報漏洩は1年以上も発覚しなかった。コインベースも、海外で勤務するサポートスタッフが賄賂を受け取り、約7万人の顧客データを盗んでいたことを明らかにした。電子機器修理会社の従業員でさえ、顧客のデータを不適切な方法で閲覧することを好む場合がある。
内部関係者が一線を越える動機は何だろうか?内部脅威の心理学に関する研究によると、記録された多くの事件には、システム管理者、データベースオペレーター、プログラマーといった技術職の従業員が関わっている。これは理にかなっている。なぜなら、彼らは検出を回避するためのアクセス権限とスキルを両方持っている可能性が高いからだ。
動機は金銭的利益から個人的な恨み(従業員データを漏洩したこの食料品店従業員のように)、あるいは覗き見趣味(個人的に知っている女性を含む女性のヌード写真にアクセスしたこのYahooエンジニアのように)まで多岐にわたる。管理者がシステムアクセス権の取り消しに怠慢な場合、従業員は退職後に犯罪を犯すことが多い。
身を守る方法
企業はプライバシーを真剣に考えていると言うだろうし、実際にそう考えている企業も多い。
企業が内部脅威に対して講じる標準的な対策はよく知られている。最小権限アクセス制御、多要素認証、ユーザー行動の継続的な監視、定期的なセキュリティ監査などだ。しかし、Metaの事例は、十分な決意と技術力を持つ人物が独自のツールを開発すれば、これらの対策を回避できる場合があることを示唆している。
では、ユーザーは何ができるのでしょうか?
最も機密性の高いデータ(プライベートな画像など)は、安全なパスワード保護された環境に保存してください。サービスが強力なセキュリティ対策を提供していない場合は、裏でアクセス権限を持つ可能性のあるすべての人を信頼できるかどうかを検討する必要があります。
デジタルフットプリントを減らし、詐欺師や恐喝犯があなたに対して利用できる情報を制限する方法をチェックしてみましょう。
詐欺師はあなたの端末をハッキングする必要はありません。あなたが一度クリックするだけでいいのです。
Malwarebytes Identity Theft 、不審な動きが問題となる前に検知します。
