元社員のサイバーリベンジ

2019年1月29日

社員との別れもビジネスの一部です。しかし、時には痛みを伴うこともあります。管理職の神経がすり減るだけではありません。恨みを持った元社員が、仕返しのために企業の評判に傷をつけたり、金銭的な損害を与えたりすることもあります。

こうした恨みがどのような結果を招くのか、サイバー関連の手段に訴える「サイバーリベンジ」から会社を守るにはどうすればいいのかを見ていきます。

 

20万ドルのパスワード

まず、解雇後のトラブルで強烈な例をひとつ。American College of Educationというオンラインの大学で起きた事件です。この大学の経営陣と、在宅勤務のシステム管理者であるトリアーノ・ウィリアムズ(Triano Williams)氏との関係は、あまりうまくいっていませんでした。

2016年、ウィリアムズ氏は同大学が人種差別をしていると苦情を申し立てました(英語)。それからまもなく、彼はインディアナポリス事務所への転勤を打診されました。これをウィリアムズ氏は拒否。在宅勤務が彼の就業条件だったからです。その結果、彼は解雇されました。解雇手当を受け取ったものの、このITエキスパートの怒りは治まりませんでした。彼は、この転勤の話はすべて自分からの苦情を発端に仕組まれたものだと結論づけました。リベンジとして、彼は大学のGoogleアカウントのパスワードを変更(英語記事)し、彼の元同僚たちは2,000人を超える学生のメールや教材にアクセスできなくなってしまいました。

ウィリアムズ氏の主張によれば、パスワードは大学から支給されたノートPCに自動的に保存され、そのパソコンは辞めた直後に返却したとのことです。一方、大学側は、ウィリアムズ氏が返却の前にPCのデータを消去したと述べています。

同大学は同アカウントに対するアクセスの復元をGoogleに依頼しましたが、このアカウントが大学ではなくウィリアムズ氏個人にひも付いていることが判明しました。ウィリアムズ氏の弁護士は、パスワードの交換条件として、20万ドルの支払いと好意的な推薦状の提出を大学側に提案しました。

派手な攻撃

次は、解雇後に大々的な攻撃に出た例です。情報セキュリティ企業、Esselarの共同創立者でIT責任者であったリチャード・ニール(Richard Neale)氏は、人間関係の悪化により退職し、6カ月かけて復讐の構想を練りました。

元同僚たちの信用を落とすため、ニール氏は、Esselarが大口顧客である保険会社、Avivaにサービスのデモンストレーションを行う日が来るのを待ちました。デモの前夜、ニール氏はAvivaの社員約900人のスマートフォンをハッキング(英語記事)し、すべての情報を消去したのでした。

この一件の後、AvivaはEsselarとの契約を打ち切り、7万ポンドの損害賠償を請求しました。しかし、ニール氏の元パートナーは、風評被害や潜在的な損害による損失は合計50万ポンドに上ると見積もっています。さらに、ニール氏がもたらしたダメージがあまりにも大きかったため、Esselarはリブランディングを検討するほどでした。

データ消去:高くついた早とちり

もうすぐクビになるかもしれないという疑いを持った社員も危険です。ある建築会社でアシスタントディレクターを務めていたメアリー・ループ・クーリー(Mary Lupe Cooley)氏は、自分のポジションが新聞の求人欄に載っているのを見つけました。それも、連絡先は彼女の上司の番号になっています。

解雇されてしまうと思い込んだクーリー氏は、過去7年分のプロジェクトデータを削除(英語記事)し、約250万ドルの損害を与えました。ちなみにこの求人広告は、上司の妻の会社のものでした。

サイバーリベンジの被害を受けないために

元社員に会社のITインフラに危害を与えられるのを防ぐには、社員が入社したその日から、権限や許可に注意を払うことが重要です。留意したい点をまとめました。

  • 社員に与えたIT関連の権限とともに、アクセスを許可したアカウントとリソースについても記録しておきましょう。権限を追加する場合は、その権限がどうしても必要である場合に限って付与し、ただちにその旨を記録してください。
  • 権限のリストは定期的に見直し、修正しましょう。使わなくなった権限は必ず無効にしてください。
  • 会社のリソースは、会社の住所で登録しましょう。個人のアカウントで設定することにどれほどのメリットがあろうと、その社員への信頼がどんなに高かろうと、仕事上の関係には、いつか終わりが来てしまいます。ドメイン名、SNSアカウント、Webサイト管理用ダッシュボードは最終的には会社の資産ですから、その管理を安易に社員に任せないでください。
  • 元社員のアクセス権限やアカウントは、できるだけ早く停止しましょう。理想的には、解雇を通告すると同時が望ましいです。
  • 社員の一時解雇やリストラについて、あからさまに話すのは避けましょう。また、特定のポストの求人広告を載せるときには、応募者以外の目に留まる可能性があることも忘れないでください。
  • すべての社員と良い関係を保ち、職場の友好的な雰囲気を維持するように努めましょう。前の雇用主に対するサイバー攻撃は、金銭目的ではなく、感情を傷つけられたことが動機であることが多いものです。