大谷翔平選手の元通訳だった水原一平氏が、選手の口座から巨額の資金を不正に送金し、銀行詐欺に関与した「水原事件」。この事件を、情報セキュリティマネジメントで扱われる「不正のトライアングル」という観点、そして関連のある過去問から詳しく解説します。
2024年3月21日、日本中に衝撃
大リーグドジャースと史上最高金額で契約をした大谷選手。その通訳として有名な水原一平氏が巨額な金額をスポーツ賭博に注ぎ込み、しかもその金額を埋め合わせるため、大谷選手の口座から詐欺を働いたという疑惑があがりました。
https://www.asahi.com/articles/ASS3P6TWZS3PUHBI01S.html
最初私はこのニュースを見て大変信じられない思いがしました。それは水谷氏が巨額な詐欺を行ったというのは理解できたのですが、その不正に大谷選手が関与していたと疑いを持たれていると報じていたニュース記事があったからです。
その後様々なニュースが報じられていますが、時系列で下記のページで詳しくまとめられていたのでご参照ください。
引用:https://www3.nhk.or.jp/news/html/20240412/k10014420381000.html
「不正のトライアングル」とは?
水原事件をまず「不正のトライアングル」という理論から見てみましょう。
これはアメリカの組織犯罪研究者であるドナルド・R・クレッシーが提唱しているものです。
①動機・プレッシャー
水原事件では、水原氏が違法賭博により、巨額な負債を負ってしまったこと、またブックメーカーより脅迫めいたメッセージを送られたため、恐怖を感じたということが該当します。
②機会(情報セキュリティで意識すべき分野)
水原事件では機会が多数存在していたことが問題とされています。
- アクセス権限の管理不備: 水原氏は、大谷選手の通訳という立場上、選手のパスポートや銀行口座情報など、機密情報にアクセスできる権限を持っていました。しかし、適切なアクセス権限の管理が行われていなかったため、水原氏は不正にこれらの情報を入手することができてしまいました。
- 多重認証の導入不足: 大谷選手の銀行口座には、多重認証などのセキュリティ対策が導入されていなかった可能性があります。多重認証が導入されていれば、水原氏のような不正な送金は防ぐことができた可能性があります。
③正当化
水原氏は、多額の負債を次のギャンブルで勝てばすぐに埋め合わせできると考えていました。また大谷選手の資産から比べると26億円という金額は少ないと考えたようです。と言っても26億円という金額は巨額な金額です。これは心理学でいうことの認知の歪みが引き起こしてしまったと言えるかもしれません。
水原事件から学ぶ情報セキュリティ対策
水原事件から、まなべる情報セキュリティ対策としては、以下のようなものが挙げられます。
- アクセス権限の厳格な管理: 職員に与えるアクセス権限は、業務上必要な範囲に限定する必要があります。また、定期的にアクセス権限を見直し、不要な権限は剥奪する必要があります。 パスポートや銀行口座情報など、個人情報は厳重に管理する必要があります。これらの情報は、暗号化された状態で保存し、アクセスできる職員を限定する必要があります。 これは学校に特に言えることかもしれません。アクセス権限は転校、教職員の移動の際に適切に移行されていますか?不要な権限を付与したままでいるアカウントはありませんか?定期的に確認するようにしましょう。 また学校は個人情報の宝庫です。個人情報を扱っている際、特に学校で起こりがちなのは、離席の際のロックがされていないということです。覗き見や、ネット上の流失はその気の緩みから起こりえます。今一度確認しましょう。
- 多重認証の導入: 重要度の高いシステムには、多重認証などのセキュリティ対策を導入する必要があります。多重認証には、パスワード認証に加えて、生体認証やワンタイムパスワード認証などがあります。
- 情報セキュリティシステムを導入する: 情報セキュリティシステムを導入し、不正アクセスや情報漏洩を防止する必要があります。情報セキュリティシステムには、ファイアウォール、侵入検知システム、アンチウイルスソフトなどがあります。
- 情報セキュリティ教育の実施: 職員に対して、情報セキュリティに関する教育を実施する必要があります。教育内容は、情報セキュリティの重要性、情報漏洩のリスク、情報セキュリティ対策の方法などを含める必要があります。 このことは管理職、ICT担当の先生だけでなく学校に関わる全般の教職員、また生徒たちに実施される必要があります。情報モラルという教育が学校ではなされるケースが多いですが、それだけでは不足な部分が多いです。
不正のトライアングルに関する過去問
まとめ