企業スパイとは、商業的または財政的な目的で行われるスパイ活動のことです。 企業スパイは、産業スパイ、経済スパイ、または企業スパイとしても知られています。
つまり、経済スパイは政府によって組織され、国際的な範囲に及びますが、産業スパイや企業スパイは一般的に組織間で行われます。
外国政府、特に多くの企業が国営で経済発展に強く力を入れている政府は、企業スパイをよく利用する人たちです。 その結果、他の政府もそれに引き込まれることになる。 ドナルド・トランプ米国大統領が中国との貿易戦争をエスカレートさせる主な動機の1つは、中国による米国企業の企業秘密の窃盗と戦うためです。
経済・産業スパイの形態にはどのようなものがありますか。
- 製造工程や技術、生産拠点、顧客データ、価格、販売、研究開発、政策、見込み入札、計画またはマーケティング戦略などの専有または運用情報などの知的財産の取得
- 企業秘密の盗難、贈賄、脅迫または異なる種類のマルウェアによる技術的監視
経済産業スパイには2つの形態がある。
経済産業スパイには2つの形態がある。
営利組織に対するスパイの指揮だけでなく、政府もターゲットになりえます。 たとえば、政府契約の入札の条件を決定するためなどです。
企業秘密とは何ですか。
企業秘密は、統一企業秘密法(UTSA)および UTSA に基づく州法で定義されています。
企業秘密という用語は、パターン、計画、編集、プログラム装置、数式、デザイン、試作品、方法、技術、プロセス、手順、プログラム、またはコードを含む金融、ビジネス、科学、技術、経済、またはエンジニアリング情報のすべての形態と種類を、有形または無形を問わず、また、保存、編集、または物理的に、電子的に、グラフィック的に、写真的に、または書面で記念化するかどうかにかかわらず、次の場合に意味します。
- その所有者は、その情報を秘密にするために合理的な手段を講じており、
- その情報は、一般に知られておらず、一般人が適切な手段で容易に確認できないことにより、実際のまたは潜在的に独立した経済価値を得ている。
産業スパイはどのように行われるのですか。
産業スパイの傘下に入る技術はいくつかあります。
- 競合他社の敷地に侵入したり、ファイルに不正アクセスしたりすること
- 競合他社の従業員として投稿して企業秘密を学んだり、顧客の個人識別情報 (PII) にアクセスすること
- 盗聴やSSLの欠如、その他の形態の中間者攻撃を使って競合他社の通信を盗聴すること
-
———————-
———————-
———————-
————————————– - WannaCry ランサムウェア攻撃のようなサイバー攻撃を使用して、競合他社のコンピュータに侵入したり無効にしたりすること。
- ドメインハイジャックを使用して競合他社のドメイン名の登録を変更すること。
- ネットワークセキュリティの貧弱さを悪用して競合他社の内部ネットワークへのアクセスを取得すること。
- CVEにリストされた脆弱性を悪用して、競合他社のWebサイトを攻撃すること。
- 電子メールのスプーフィングやフィッシングを使用して、競合他社の従業員を騙し、機密情報や機密データを漏えいさせる。 その多くは、内部関係者が企業秘密をある会社から別の会社に移したことに起因しています。 不満を持った従業員や、現在は競合他社で働いている元従業員が、不注意または直接的に専有情報や企業秘密を漏らすことがあるのです。
イノベーションから生まれる競争上の優位性を考えると、企業スパイがこれほど大きなサイバーセキュリティ リスクになった理由は明らかです。
競争的諜報活動と企業スパイの違いは何ですか?
情報セキュリティ用語で言えば、競争的諜報活動は、企業スパイのホワイトハット版と言えます。
競合情報企業は一般に、合併や買収のニュース、政府の新しい規制、ブログのコンテンツ、ソーシャルメディアのノイズなど、一般に公開されている情報を合法的な方法で収集し、分析するのです。 実際、公開情報に基づく防諜は非常に有効で、多くの企業は現在、どの情報が公開されるかを管理する OPSEC チームを持っています。
とはいえ、一線を越えて違法な企業スパイに陥る競合情報企業もあります。 たとえば、競合他社の駐車場の衛星画像を購入して、毎年どれだけの顧客にサービスを提供しているかを調べたり、私立探偵にお金を払ってトレードショーを歩き回り、聞いたことを共有したりすることはまったく合法です。
しかし、知的財産権所有者の同意なしに企業秘密を取得することは、一般に法律違反です。
米国政府は、1996 年の経済スパイ法により、企業スパイを規制しています。
この法律は、企業秘密が何であるかを成文化し、商業秘密を盗むことを連邦犯罪としました。 企業スパイ行為に対する罰則は、懲役刑と数百万ドルの損害賠償になります。 その最も厳しい処罰は、企業秘密を外国企業や政府に譲渡した者に向けられます。 実際、1996年の経済スパイ法に基づく最初の裁判で有罪判決を受けたのは、中国に企業秘密を売ったボーイング社の技術者であった。
米国司法省は、どの産業スパイ事件を追及するかどのように決定するのですか?
すべての事件が刑事訴追に値するわけではありませんが、米国司法省は、どの事件に基づいて追及するかというガイドラインを設けています。
- Scope of criminal activity
- Evidence of foreign engagement
- Degree of economic injury to the intellectual property owner
- Type of trade secret stolen
- Effective of available civil remedies
- Value of the case as a potential deterrent
とは言えですけども……….どうなんでしょう? 司法省が産業スパイ事件を追及しないからといって、企業秘密の窃盗が合法になるわけではありません。 多くの違反行為は民事裁判での訴訟の根拠となり得ますし、米国の多くの州には企業スパイに関する追加の法律があり、連邦法よりも厳しくなることがあります。
どのような業界が企業スパイの一般的なターゲットになりますか。
産業・経済スパイは、一般的に次のようなハイテク産業と関連しています。
- コンピュータ ソフトウェア
- ハードウェア
- バイオテクノロジー
- 航空宇宙
- テレコミュニケーション
- 輸送およびエンジン技術
- 自動車
- 工作機械
- エネルギー
- 素材
- 塗料
などのハイテク産業。
シリコンバレーは世界で最も企業スパイの標的となる地域の1つである。 シリコンバレーと並んで、自動車メーカーも次期車種をカモフラージュ塗装パターンやパッド付きカバー、欺瞞的なデカールなどで偽装し、車のデザインを難解にすることが多いようです。
現実には、機密情報を持つあらゆる組織が、企業スパイの標的になり得る。
コンピューターは企業スパイをどう変えたか?インターネットの台頭とコンピューター ネットワークの接続性の増加により、利用できる情報の範囲と詳細、およびアクセスの容易さが、サイバースパイ活動の人気を非常に高めている。
コンピュータによる企業スパイの利用は、1990年代に急速に増加しました。 清掃員や修理工などの作業員として勤務している人が、無人のコンピューターにアクセスし、情報をコピーすることによって情報が盗まれるのが一般的です。
スパイの加害者は、個人を騙してノートパソコンを手放させ、一時的にしかアクセスできず、情報を盗むことができるようにすることが知られています。 ホテル、タクシー、空港の手荷物カウンター、手荷物回転木箱、列車などが、こうしたことがよく起こる場所です。
インターネット ベースのサイバー攻撃者もよくいますが、これらは通常、競合他社ではなく、政府によって行われる経済スパイのカテゴリに分類されます。
機密情報を盗むだけでなく、コンピュータへの依存度が高まっているため、産業スパイは破壊工作にまで及ぶ可能性があります。 これは、分散型サービス妨害(DDoS)またはその他のサイバー攻撃による、テロリスト集団または敵対的な外国政府による潜在的な攻撃のために、政府にとってますます懸念されることです。
サイバースパイを防ぐには
サイバースパイを防ぐことは、あらゆる形態のセキュリティ事故を防ぐことに似ています。
データはコピーや転送が容易なため、産業スパイの主要なターゲットとなり、多くの組織がデジタル フォレンジックと IP 帰属を利用して、データ侵害やデータ漏洩がいつ、どのように、誰が引き起こしたかを特定しようとしています。 さらに、多くの企業がこれまで以上にアウトソーシングを進め、多くのサードパーティーベンダーのセキュリティ対策が不十分であることも、データ漏洩を防止する必要性がかつてないほど高まっている要因となっています。
サードパーティリスク管理のフレームワーク、ベンダー管理ポリシー、ベンダーリスク管理(VRM)プログラムの運用は手間がかかるものです。 近年、データ侵害のコストは推定392万ドルにまで膨れ上がっています。 サードパーティが関与するデータ侵害は、37万ドル高く、平均総コストは429万ドルと推定されています。
このため、多くの組織がベンダー リスク管理を自動化するソフトウェアに走り、サードパーティ リスクとフォースパーティ リスクを低減しています。 組織内外のサイバー脅威によって企業秘密が盗まれる可能性があり、情報リスク管理およびサイバーセキュリティのリスク評価プロセスにはこれを反映させる必要があります。 企業のスパイ行為を防止するために、堅牢なサイバーセキュリティを導入することは、かつてないほど重要なことなのです。
企業スパイの起源は何でしょうか?
1712年に中国の景徳鎮でフランソワ・ザビエル・ダントルコールが中国の磁器の製造方法をヨーロッパに明かしたことが、産業スパイの初期の事例とされています。
18世紀、イギリスが産業債権国として台頭したことに起因して、イギリスとフランスの間で企業スパイが行われたという歴史的記録が残っています。 イギリスの工業技術をフランスのために盗もうとする、国家主導の大規模な取り組みがあったのです。
20世紀には、東西間の経済スパイが盛んに行われるようになりました。
ソビエト連邦の崩壊と冷戦の終結後、多くの西側諸国と旧共産圏諸国は、国際的な企業スパイのために未稼働のスパイを使い始めた。 人員の再配置だけでなく、コンピュータ・データベース、盗聴ツール、スパイ衛星、盗聴器、電線などのスパイ機器もすべて産業スパイのために採用されたのです。
産業スパイの顕著な例は?
- ヒューレット・パッカード:2006年、ヒューレット・パッカードは、マスコミへの機密漏洩を見つけるために調査員を雇い、複数の記者の電話記録を収集するために「プレクティング」、個人情報を得るための偽りの違法方法を使いました。 ヒューレット・パッカードは最終的にカリフォルニア州に1450万ドルを支払い、スパイ行為を行った記者たちにも追加で金銭を支払いました。
- IBMとテキサス・インスツルメンツ。 1987年から1989年にかけて、IBMとテキサス・インスツルメンツは、フランスのグループ・ブルを助ける意図でフランスのスパイに狙われていたと考えられています。
- General Motors: ゼネラルモーターズのゲルマン部門であるオペルは、オペルの生産部長と他の7人の幹部がフォルクスワーゲンに移った後、1993年に産業スパイ行為でフォルクスワーゲンを訴えた。 1997年にフォルクスワーゲンがゼネラルモーターズに1億ドルを支払い、7年以上かけて少なくとも10億ドルの自動車部品を購入することに合意し、和解した。
- グーグル 2010年1月13日、グーグルは、中国国内のオペレーターがグーグル中国のオペレーションにハッキングし、知的財産を盗み、人権活動家のメールアカウントにアクセスしたことを発表した。 この攻撃は、中国国内の企業に対する広範なサイバー攻撃の一部であったと考えられ、「オーロラ作戦」として知られるようになった。
- オラクル:2000年、オラクルは、マイクロソフトのゴミを取得するために調査官に金を払い、独立系と思われる2つの調査機関にマイクロソフト寄りのレポートを発表させている疑いがあるとされ、摘発された。
- ジレット 1997年、ジレットの下請け会社であるライト工業株式会社のプロセス制御エンジニアが、同社のマッハ3プロジェクトで下位の役割に降格され、複数のジレットのライバル会社に企業秘密を送ることにしていた。 シックはこの行為をジレット社に報告し、ジレット社はFBIを関与させました。
アップガードがデータ漏洩やデータ流出から組織を守る方法
サイバーセキュリティがかつてないほど重要であることに疑いの余地はありません。 Intercontinental Exchange、Taylor Fry、The New York Stock Exchange、IAG、First State Super、Akamai、Morningstar、NASAなどの企業が、データ保護とデータ漏洩の防止にアップガードを使用しているのはこのためです。
私たちはデータ漏洩の専門家で、事実、私たちのデータ漏洩研究は New York Times, Bloomberg, Washington Post, Forbes, Reuters and Techcrunch で紹介されています。
UpGuard BreachSightは、タイポスクワッティングへの対策、データ漏洩やデータ侵害の防止、規制当局からの罰金の回避、サイバーセキュリティ評価と連続暴露検出による顧客の信頼保護に貢献します。
UpGuard Vendor Risk は、ベンダーへのアンケートを自動化し、ベンダーのセキュリティ姿勢を長期にわたって継続的に監視し、業界に対するベンチマークを行うことにより、組織が第三者との関係の管理に費やす時間を最小限に抑えることができます。
各ベンダーは、SSL や DNSSEC の有無、ドメイン ハイジャック、中間者攻撃、フィッシングのメール スプーフィングなどの 50 以上の基準に対して評価されます。
毎日、当社のプラットフォームは、950 点満点のサイバー セキュリティ評価でベンダーを評価します。
今日、デモを予約してください。