スパム。小規模ながら成長中のオンライン小売業者である当社のクライアントにとって、この4文字の単語はブランド全体を脅かすものでした。同社は、忠実な顧客ベースと顧客一人ひとりに合わせたアプローチを誇りとしていました。

ある時期から、このオンラインショップはスパムメールや電話を受け取ったという顧客からの苦情を受けるようになった。スパムの内容は、そのオンラインショップで過去に購入した商品に関するものだった。当然のことながら、顧客は怒り、自分の連絡先がどのように漏れたかを心配した。

The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.

ソリューション

Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.

同社が使用したCleverControlの主な機能は以下の通り:

  • ライブビューイング: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
  • スクリーン録画: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
  • スクリーンショット since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
  • アプリケーションとウェブサイトの監視 tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
  • 外部記憶装置の監視 同社は、誰かが顧客データベースをUSBドライブやその他の外部記憶装置にコピーしたかどうかを知る必要があった。
  • 電子メールの監視: 電子メールを通じてデータベースが漏洩した場合、CleverControlは漏洩を記録します。
  • 顔認識: この機能によって、オフィスのコンピューター、特に顧客データベースにアクセスできるコンピューターに誰がアクセスしたかがわかる。
  • 適切な通知とともに、オフィスの特定のエリアでビデオと音声の録音を行う: ワークステーションの近くで音声をキャプチャすると、データ漏洩や不正な議論に関連する口頭でのコミュニケーションが明らかになる可能性がある。

調査

The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.

In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:

  • The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
  • スクリーンショットと画面録画から、ユーザが顧客データベース・フォルダからデスクトップに大きなCSVファイルをエクスポートしたことがわかった。彼はそのファイルをUSBドライブにコピーした。

翌日、CEOがその不審な行動についてカスタマーサービス担当者に問いただしたところ、彼は容疑を全面否認した。その従業員は、事件当時、数人の同僚とバーにいたと主張し、同僚もその言葉を認めた。

Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.

決議

クレバーコントロールが収集したデータから、内部脅威が検出された。マーケティングアシスタントが顧客データベースの窃盗に関与していました。ファイルエクスポート、USB転送、勤務時間外の活動、求人検索から、意図的なデータ窃盗の企てが指摘されました。

詳細なファイル操作ログとUSB接続記録を見せられたマーケティング・アシスタントは、顧客データベースをダウンロードしてコピーしたことを告白した。彼女は、顧客サービス担当者がしばしばコンピュータのロックを忘れていることを知っており、機密データを盗む機会をつかんだのだ。このアシスタントは数カ月前にそれを行い、新しい仕事を探していたため、収入を補うために更新したデータベースを競合他社に売るつもりだった。

The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.

CEOはまた、顧客データベースへのアクセス管理の厳格化、多要素認証、データ・セキュリティと倫理的責任に関する従業員研修の強化も実施した。

結論

CleverControlは、このケースで内部脅威の検知に重要な役割を果たしました。データ窃盗犯を迅速に特定し、被害を軽減し、将来のインシデントを防止するために迅速な行動を取るために必要な証拠を提供しました。その上、このケースは、ファイルログやアクティビティ追跡だけに頼ることは誤解を招く可能性があることを強調しています。顔認証は追加の認識レイヤーとして機能し、窃盗を行った実際のユーザーを特定するのに役立ちました。CleverControlは、セキュリティ監視だけでなく、社内調査の公正さと正確さを確保する上でも非常に貴重な存在であることが証明されました。