26th ACFE Global Conference : Dr. James T. Reese
2015年6月30日26th ACFE Global Conference : Lesley Stahl
2015年6月30日
The 26th Annual ACFE Fraud Conference and Exhibition
第26回 ACFE 年次総会 現地レポート:理事長 濱田 眞樹人
日時:2015年6月15日(月)~17日(水)
場所:メリーランド州ボルティモア
基調講演:ブライアン・クレブス Brian Krebs
Brian Krebs(ブライアン・クレブス)は、企業によるサイバー犯罪への取り組みは、戦車の数が多すぎて操縦者が足りない状態だと述べた。「企業は非常に多額の予算を投じてサイバーセキュリティに対する兵器を購入し、たった2人の人員を投入して、すべての兵器を扱うように命じています」 調査ジャーナリストでKrebsOnSecurity.comのブロガーでもあるブライアン・クレブスは、ACFEガ―ディアン賞(ACFE Guardian Award)を受賞した後、火曜日の午前中に基調講演を行なった。この賞は、毎年、「真実への妥協なき決意と忍耐力、コミットメントをもって不正との闘いに多大な貢献をしたジャーナリスト」に贈られる。
彼は、組織の無気力と無為がサイバー犯罪の大きな原因となっていると述べた。「全体的に見て、組織の最上層の幹部にサイバーセキュリティの問題に対するする緊急性が欠けています」
「データ漏えいを起こした企業は自らが危険にさらされている兆候を示していたということがフォレンジック調査によって明らかになるというケースがあまりにも多すぎるのです」と元ワシントン・ポスト紙の記者であったクレブスは語った。「しかし企業には自らが何百万ドルも払って導入した技術的なツールが企業のネットワークやデータの安全性や完全性について告げていることを解釈するための人員が不足しています」
クレブスは、組織はサイバー犯罪の原因ではなく兆候に対処しているだけだと述べた。「兆候のない事柄の問題は、それほど魅力的な仕事ではありません。ソフトウェアやサーバーにパッチを当てる、バックアップを見る、データの暗号化、一つの船室が浸水した時に船全体の沈没を防ぐように、ネットワークを切断するなどの作業は退屈で単調です」
「ほとんどの州の法律は、組織がデータ漏えいを起こした時、流出したデータの所有者である顧客や消費者に彼らのデータが失われたことを通知することを求めています。人々は通知を受け取りますがそれは問題の一部でしかありません。多くの人々がその通知に慣れてしまいます。なぜなら誰もがハッカーの被害を受けているからです」
クレブスは、組織に対してハッカーの被害を受けたことだけでなく、どのように攻撃されたのかを人々に通知することを義務づける新たな要件を望んでいる。「そのような通知を受け取れないのは不名誉なことです。組織がお互いの過ちから学ぶことができない一方で犯罪者だけが得をしています」
クレブスは、組織が漏えいによってデータを失った時は、全ての被害者のためにクレジット・モニタリングサービスの費用を負担すべきだと述べた。「そうなれば素晴らしい。このサービスは、犯罪者が個人情報を盗むのを防ぐ機能を持つわけではありません。私は、データ漏えいを起こした組織が[被害者の]信用を凍結することを望んでいます。これが被害者の名義で被害者の新たな口座を作るのを防ぐ唯一の方法です」
最近のデータ漏えいでも被害者のデータはすでに広まっており売買されていると彼は述べた。「犯罪者があなたの情報を手に入れ、あなたの名義で新しいクレジットカードの申し込みをしたい、またはあなたの個人識別情報を破壊したいと望むなら、実行するのは簡単です」
「我々は皆サイバー犯罪と闘う役割を担っています。ですが、我々がサイバー犯罪を軽視するなら、自分自身や友人、家族が被った本当の痛みや損害の詳細を話すものではないからという理由でありふれた話をしてしまうのです」
彼は、自分のブログに掲載されている"The Scrap Value of a Hacked PC, Revisited", "The Value of a Hacked Email."を聴衆に示した。