データ侵害ニュース

従業員の8人に1人が、会社のログイン情報を売却したことがあるか、そうした人物を知っている

ダニー・ブラッドベリー| 2026年5月12日
現金で支払った

英国の不正防止非営利団体Cifasが、事業を営む人や企業から商品・サービスを購入する人なら誰もが懸念すべき調査結果を発表した。それによると、大企業の従業員の8人に1人が、自社のログイン認証情報を売却した経験があるか、そうした行為を行った人物を知っているという。

インターネット上には、従業員が社内システムにアクセスするために使用する、流出した認証情報が溢れています。脅威インテリジェンス企業のKELAによると、2025年には世界中で約29億件の認証情報が流出しました。その大半はフィッシング攻撃や情報窃取型マルウェアによるものです。しかし、手っ取り早く金儲けをしようとする従業員がいるおかげで、サイバー犯罪者は彼らに持ちかけるだけで済むのです。

誰も注目していないインサイダーたち

Cifasは、従業員数が1,000人以上の企業の従業員2,000人を対象に調査を実施した。そのうち13%が、過去12ヶ月間に自社のアクセス認証情報を売却した、あるいはそうした人物を知っていると認めた。驚くべきことに、報告書が指摘するように、売却した人々の多くは「無害だと思い込んで」いたという。

【速報】 アカウントの認証情報を売却することは、 決して無害な行為ではありません犯罪者は、アカウントを乗っ取り、悪用するためにそれらを狙っています。ベライゾン社の調査によると、米国におけるアカウント乗っ取り事件は昨年、6%増加し、7万8,000件を超えました。

乗っ取られるアカウントの多くは、ソーシャルメディアやオンライン動画配信サイト、そしてもちろん銀行口座といった個人向けサービスのものである。しかし、そのほかにも、Microsoft 365やSalesforceなど、企業の機密データを保管するビジネスシステム向けのアカウントが数多く含まれている。こうした機密情報は犯罪者にとって貴重な商品であり、彼らはそれを闇市場で売買することができる。

あなたの上司の方が、あなたよりも物を売る可能性が高い

理想を言えば、ここで「最小権限の原則」と呼ばれる一般的な手法が活用されるべきです。

企業向けのオンラインアカウントには、必要な機能へのアクセス権のみを付与すべきだという考えです。つまり、食堂のジムには食事の注文システムへのアクセス権は与えられても、顧客データベース全体へのアクセス権は与えられないようにすべきです。そうすれば、たとえジムのアカウントが乗っ取られたとしても、攻撃者ができる最悪の事態は、明日のソーセージが食べられなくなることくらいに留まるでしょう。

問題は、同報告書によると、下級社員よりも上層部の方が、自身のアカウント認証情報を売却することに抵抗を感じないという点だ。上級管理職の32%、取締役の36%、経営幹部の43%、そして驚くべきことに、事業主の5人に4人が、これを正当な行為だと考えている。彼らの立場上、最小権限のアクセス権しか与えられていなくても、そのアカウントを通じて機密性の高いシステム機能やデータにアクセスできてしまう可能性がある。

これは英国だけの問題ではない

Cifasの調査は英国に限定されたものですが、問題はそれだけにとどまらないでしょう。これまでにも、複数の企業で従業員が自社のアカウントや記録へのアクセス権を売却している事例が見受けられています。例えば、仮想通貨企業のCoinbaseは昨年、バングラデシュに拠点を置くアウトソーシング企業の従業員が、顧客の記録をhackers売却していたことを明らかにしました

認証情報の漏洩は広く蔓延しています。当社の調査によると、わずか30日間の間に、フォーチュン500企業のうち111社で従業員の認証情報が漏洩していました。長期的に見ると、これらの企業のうち363社(73%)が、少なくとも1件の従業員の認証情報の管理を失っています。

従業員が自身のアクセス認証情報を売却することは、その従業員を雇用している企業にとって悪影響を及ぼすだけではありません。顧客にとっても悪影響となります。

経営幹部のパスワードが売り出されると、顧客の個人情報も間もなく流出する可能性がある。もっとも、それを売るのはその経営幹部本人ではないだろう。Malwarebytes 、フォーチュン500企業の91%で顧客の認証情報が漏洩しており、乗っ取られたアカウントはそうした情報を入手する格好の手段となっている。

つまり、内部者によるリスクは企業だけの問題ではありません。消費者にとっても同様の問題なのです。そのため、大企業に対して、なぜその情報が必要なのかを疑問に思うことなく、安易に個人情報を提供することは少なくなっています。

あなたの名前、住所、電話番号は、おそらくすでに売買されているでしょう。  

データブローカーは、個人情報を収集し、対価を支払う者なら誰にでも販売しています。Malwarebytes Personal Data Remover 、そうしたブローカーをPersonal Data Remover 個人情報を削除し、その後も監視を続けることで、情報が再び流出しないようにします。 

著者について

ダニー・ブラッドベリ

ダニー・ブラッドベリ

ダニー・ブラッドベリは1989年からテクノロジー専門ジャーナリスト、1994年からフリーライター。消費者からソフトウェア開発者、CIOまで幅広い読者を対象に、テクノロジーに関するさまざまな問題を扱っている。また、テクノロジー・セクターのC-suiteビジネス・エグゼクティブのために記事のゴーストライターも務めている。英国出身で、現在はカナダ西部在住。

最新記事

ニュース
JDownloaderのロゴ

攻撃者は、JDownloaderのインストーラーのダウンロードファイルをマルウェアにすり替えた

5月15, 2026

JDownloaderのウェブサイトがハッキングされ、インストーラーのダウンロードリンクから数日間、マルウェアが配布されていました。

AI
WhatsAppとInstagram

Metaのチャットプライバシーに関する、分かりにくい新たな取り組み

5月15, 2026

WhatsAppは現在、Metaが読み取れないという「消えるAIチャット」機能を提供しています。一方、Instagram 、Metaがメッセージを読み取れないようにしていた機能をInstagram 。

Privacy
Yahoo!メールのロゴ

Malwarebytes 一部のYahoo MailのリダイレクトをMalwarebytes 理由

5月14, 2026

一部のYahoo Mailユーザーは、不審なサードパーティのドメインへのバックグラウンド接続が原因で、Malwarebytes 繰り返し表示される場合があります。その理由をご説明します。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺