10年間にもわたる情報漏洩はなぜ起きたのか？（349号）

前回は外部からの攻撃に備えるためのファイアウォールについてお話をしました。

ですが、情報セキュリティインシデント（事件／事故）には内部メンバのミスや不正によって発生する場合も数多くあります。

今回は、2023年後半からマスコミをにぎわせてきたNTT西日本のグループ会社で発覚した大量かつ長期間にわたる情報漏洩のインシデントについてお話をします。


1. 事件の概要

この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX（以降ProCX社と書きます）と、NTTビジネスソリューションズ（以降BS社と書きます）という二社で発生した情報漏洩事件です。

この二社は共同していろいろな会社のコールセンター業務を請け負っています。
コールセンター業務には、お客さんからの製品の質問や苦情の電話を受けるもの（インバウンドコール）やお客さんへの商品紹介や支払いの督促の連絡を行うもの（アウトバウンドコール）があります。

こういったコールセンターの運営には独特のノウハウが要りますので、コールセンターのプロとして、他社のお客様窓口業務を請け負う会社は必要とされています。
実際、ProCX社は70社近くのコールセンター業務を請け負っているそうです。

この二社はProCXが業務委託元（約70社）との契約や各コールセンター（電話オペレータ）の管理を行い、BS社はコールセンターシステムの開発と保守を行うという役割分担になっていました。

今回の事件はBS社で情報管理サーバの保守を担当している技術者（以降、Xと記載します）が、管理者IDをを悪用して、顧客である各社から預っている顧客情報を盗んでは名簿屋などに売却していたというものです。

情報の横流しは一度や二度ではなく、2013年から2023年の10年間にわたって、合計で900万件を超えるデータを窃取していたとのことですから、大きなニュースになったのです。

この事件には総務省からも再発防止を求める行政指導が行われ、それに従いNTT西日本から2024年2月29日に「調査報告書」が公開されました。「X」という呼称はこの調査報告書に合わせたものです。

今回の記事はその報告書をベースに作成しています。

なお、Xは1月末時点で警察に逮捕されており、容疑を認めているとのことです。


2. 犯罪は割に合わない

まず、最初に書いておきたいのは「犯罪は割に合わない」ということです。

この記事を書いている今も不正な情報窃取に手を染っている人はいるはずです。
そんな方が筆者のメールやブログを見ているとは思いませんが、何かの巡り合わせでご覧になったなら、今スグ不正行為はやめてください。

不正によって得た金子（きんす）など「あぶく銭」そのものです。
報告書を見る限り、事件の舞台となったシステムについてはXは社内有数の稀有な有識者だったそうです。

ですが、事件後にXは消息不明となり、所属会社も退職扱いとなりました。
せっかくの有識者が60才を過ぎて犯罪者として逮捕されたわけです。
もったいないこと、この上ありません。

この「もったいない」は当人だけでなく、会社にとってもそうです。

「何を犯罪者を擁護してるんだ」と言われそうですが、こういった有識者は一朝一夕で作るものではありません。
貴重な知識を有している人材をなくすことは会社にも大きな痛手です。

もし、不正な情報窃取を行っている方がこれをご覧になっていましたら、スグにやめてください。
今までに培った知識や知見を無駄にしないため、会社や仲間を裏切らないためにもお願いします。


3. ぶっちゃけ、皆が悪い

筆者はもう随分長い間、システム開発をやっています。

その中には、どうにもうまくいかなかったプロジェクトもあります。

そういったプロジェクトでは事後に悪者捜しがよくなされるのですが、筆者はあまり意味のないことだと感じています。

というのは、炎上するようなプロジェクトは、応々にして全員に非があるからです。

曰く、開発担当はロクにお客さんの業務や事情を理解せずに的外れなものを作る。
曰く、営業担当はカネ（契約）さえもらえば後は知らぬ存ぜぬで通そうとする。
曰く、協力会社はロクにテストもせず「完成しました」と提出する。
曰く、発注会社はロクに説明もせず、心に描いている理想が実現できると思ってる。

とはいえ、一番悪いのは開発会社のマネージャ（プロマネ）です。
プロマネはこういった事態を招かないように参加者全員の尻叩きをするのが仕事だからです。

さて、この視点で今回のインシデント（事件）を見ますと、やっぱり皆が悪いのです。
あ、今回に関してはProCX社の契約先である業務委託元は除外します。
契約先は最初に情報漏洩の可能性に気づいてProCX社に調査依頼をするなど、しっかりとリスク管理がされているからです。

さて、問題なのはシステム開発と保守を行っているBS社です。

まず、担当者であるXが好き勝手しているのを監督するマネージャが不在状態。
次に、どの担当者も業務を回すことに手一杯で、セキュリティ対策が形骸化し、それが当然の状態。
さらに、それにも関わらず管理職自身が「セキュリティ対策なんてしたって評価されない」と他人事みたいな発言。
さらにさらに、セキュリティ自主点検でも「これは対象外ね」とテキトーなら、それを評価する上長も「ま、いいんでない」と超テキトー。

そりゃまぁ、ここまでユルユルならこういう事件も起きますわな、と悲しいくらい納得できる内容でした。


4. なぜ10年にもわたって気付かなかったのか

ちょっと気を取り直します。
筆者が一番の疑問だったのは、どうして10年間もバレなかったのか？でした。

結論は「まともなチェックができてなかったから」です。

こういった不正を検出するには意図的に「検出するぞ」という作業を行う必要があります。日常の作業で「あれ？アイツ何やってんの？」と気付かれることは滅多にありません。

なので、作業ログだとか、防犯カメラだとかを使って「誰がいつ何の作業を行ったか」を記録するのです。

いえ、それだけでは足りませんね。
その「記録をチェックする作業」というのが必要です。

ところが、これが形骸化しやすい作業の典形なのです。
というのは、このチェック作業って同じ職場で働いている仲間を疑ってかかる行為じゃないですか。
そんな汚れ仕事を喜んでやる人なんてごく少数です。
勢い「やらなくて済むんだったらやりたくない」作業になるわけです。

「ま、今やらんでもエエやろ」
「別にトラブル起きてへんからエエやろ」
「今まで何も起きてへんから、今更やらんでもエエんとちゃう？」
「これホンマにやる必要ある？」

とここまで来れば、

「どうせ不正なんかないし、やったことにするか」
「前回もNGなしやから（ログ見てないけど）OKでエエよね？」

となり、いつしか

「ああ、それは毎回OKで出しといたらエエねん」

となっていくわけです。

実際、BS社ではログチェックを行うルールでしたが、全く行われていませんでした。
また、管理者は作業時に入退室管理や作業記録を取ることになっていましたが、これもほとんど機能していませんでした。

しかも、Xの監督を行うべき上長は勤務地が異なるため、Xがどんな作業をしているのかすら知りようがない状態でした。
結果、Xが不正を行っていても誰も気付きようのない状態が何年も続いていたのです。

とはいえ上記の状況を新たに赴任した人物（例えば情報セキュリティ担当役員）が見れば「これはマズいわ」となるでしょ、と筆者などは思うわけですが、実際は違っていたようです。

どうもBS社では「ことなかれ主義」が曼延していたようで、社内ルールの更新を行われなかったようなのです。
親会社であるNTT西日本では（少々子会社には重すぎるくらいの）立派な運用ルールが定められているのですが、BS社ではないがしろにされていたようです。

そのため、新たな役員が赴任しても「今さら波風立てんでくださいよ」などと改善を止める方向に力が働いていたのでしょう。

なるほど、これでは10年間バレなかったのも納得です。


5. BS社が払った代償はデカい

当然ながら、犯罪を行ったのはXであり、会社は被害者です。

ですが、筆者は必ずしもそうは思いません。
10年間も内部の犯罪行為を不作為によって見逃してきたのは間違いなく会社です。
もっと早くに見つかっていれば、Xも更生でき、会社も対外的にも面目を立てられ、人材も失わずに済んだはずです。

それができなかったのは、会社の経営方針の問題です。

いきなり経営方針までフロシキを広げるのもどうかと思いますが、情報セキュリティ対策を行うにはカネが要ります。
「カネも出さずに対策しろ」と言えば現場がテキトーな作業になるのはあたりまえです。
「口を出すならカネを出せ」ですものね。

情報セキュリティ対策にどれだけコストをかけるか？を決められるのは経営者です。
ですから、今回の件で経営者の責任はものすごく大きいです。
同じくらい責任が重いのは管理職です。

今回の報告書の中で当事者であるBS社の課長のコメントがありました。
「（業務を滞りなく進めることに比べて）情報セキュリティは意識されないし、やっても評価もされない。ミッションがない中ではどこまでやるべきかの判断もできない予算がつくかもわからない」

筆者などは、「おいおい、評価できるように経営陣にかけあうのがアンタの仕事やろ！」と思うのですが...。

結局、BS社は自力で社内の制度改善が行えず、NTT西日本からの外圧によって強制的に改善が行われるようですが、時すでに遅かりし、ですね。


6. まとめ

2024年2月29日にNTT西日本から、2023年に発覚した大規模な顧客情報流出事件についての調査報告書が公開されました。

資料は本文が182ページ（付加資料が80ページほど）という非常に厚いもので、筆者も全てを精読・整理できていないのですが、かなり強い口調で当事者であるNTTビジネスソリューションズ社（BS社）を糾弾していいます。

とはいえ、ここに書かれたことを「ウチはできているよ」という会社がどれだけあるのだろうか？とも感じました。

同時にNTT西日本が今回の調査報告書を踏まえて改善策を発表したのですが、この内容が厳しすぎます。結果、正直に対応する人が苦労をし、テキトーにやる人はラクができるという「正直者がバカを見る」改善になるのではないかと、疑いの目を向けています。

今後、数年後にどうなるか、NTT西日本のお手並み拝見といったところです。

本件については他にも興味深い点がたくさんあります。
（これだけで10回くらいの連載ができそうなくらい）

今回はNTT西の情報漏洩事件の調査報告書についてお話しました。

次回もお楽しみに。

（本稿は 2024年3月に作成しました）