Malwarebytesは7月4日(米国時間)、「Insider Threat: Employees indicted for stealing $88 million of license keys|Malwarebytes Labs」において、米国企業でインサイダーによる電信詐欺があったことを伝えた。Avayaの元社員であるBrad Pearce氏とその妻Dusti Pearce氏、Avaya正規販売代理店員だったJason Hines氏の3名が電信詐欺行為に対する陰謀と13件の詐欺罪で米国当局に起訴されたという。

  • Insider Threat: Employees indicted for stealing $88 million of license keys|Malwarebytes Labs

    Insider Threat: Employees indicted for stealing $88 million of license keys|Malwarebytes Labs

Avayaは米国を拠点にしている通信テクノロジー企業。日本にも支社がある同社は、IP Officeと呼ばれる企業向けボイスコミュニケーションサービスをソフトウェアライセンス形態で販売している。Brad Pearce氏が管理者権限を悪用してIP Officeのライセンスキーを作成し、Jason Hines氏や他の顧客に販売していたことがわかった。Brad氏はさらに自分が疑われないよう別のAvayaの元社員のアカウントを乗っ取り、ライセンスキーを作成していたとのこと。同氏の妻は彼らの違法な事業運営において、会計士と財務責任者の役割を担っていたとされている。

Hines氏はAvayaの標準卸売価格よりはるかに安い価格でライセンスを販売し、同社には推定8,800万ドルの金銭的損害が発生した。Pearces夫妻が受け取ったお金はすべて複数のPayPalアカウントに送られ、銀行口座を経由して最終的に投資口座に回すことによるマネーロンダリングが行われていたという。同夫妻はマネーロンダリングでも起訴されている。

Malwarebytesはインサイダーの脅威によるインシデントの頻度とコストが増加していると警告。企業や組織に対し、内部脅威のリスクを特定しておくこと、従業員に対する最小特権の原則に則ったアクセス権の付与、従業員の適切な作業記録と監査を行うなどの対策を講じておくことを勧めている。