情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)パスワード定期変更のこれまでの見解
2)パスワード定期変更のリスク
3)ID/パスワードによる認証の問題
4)パスワード使いまわしのリスク
5)危険なのは使いまわしだけではない
6)ID/パスワードの厳重な設定、管理に向けて
1.パスワードの重要性と管理のあり方
「セキュリティ上、定期的にパスワードを変更する必要がある」。この考えは長らく情報セキュリティの基本中の基本とされていました。日本をはじめ世界中で、システムへのログインパスワードは複数の文字種を用いた複雑で文字数の多いものを3ヶ月ごとなど定期的に変更することが求められてきました。多くの日本の企業、公共団体でも、情報システムのログインパスワードは定期的に変更することとルールで定められているでしょうし、ECサイトやクラウドサービスにおいても、一定期間経過したログインパスワードは変更するよう案内されてきました。例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。
しかし、現在は、定期的なパスワード変更は推奨されなくなりました。総務省が、今年3月パスワードの変更に関する大幅な方向転換を発表し、ヤフーも通販などで利用者が使うアカウントのパスワードについて、「定期的に変更いただくことをおすすめします」との注意喚起を近く削除する方針であることを公表しています。また、個人情報を適切に扱う事業者に与えられる「プライバシーマーク」を発行する一般財団法人日本情報経済社会推進協会も認定時の審査基準を改定し、パスワードの定期的な変更を不要にする方針を示しており、Pマークを取得済みの約1万5千社・団体でも同様の動きが広がりそうです。
今回の「情報セキュリティトピックス」では、パスワードはなぜ定期的な変更が推奨されなくなったのか、また、ID/パスワードによる認証をとりまく情報セキュリティ上の問題を再認識していきたいと思います。
1.パスワード定期変更のこれまでの見解
情報処理推進機構 (IPA)が、2012年に発表した「不正アクセス対策のしおり」という刊行物には以下のような記載があります。
パスワードの盗難対策として、「紙に書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」の他に、「定期的にパスワードを変更する」があります。つまり、これまでの日本国内の公式見解は、「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」というものでした。
では、なぜ「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」と考えられていたのかというと、米国国立標準技術研究所 (NIST) が数年に一度改定している「電子的認証に関するガイドライン」には一貫して「パスワードは定期的に変更すべき」と記載されていたためです。米国の政府機関が発表するドキュメントが、事実上の電子的認証のセキュリティに関する世界標準となっており、日本政府を含む各国政府がこのガイドラインを参照に、国内向けのガイドラインを作成していました。
しかし、2017年6月に発表されたNISTの「電子的認証に関するガイドライン」の最新版には、「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に180度方向転換されました。
IPA(独立行政法人 情報処理推進機構)、一般社団法人 JPCERT コーディネーションセンター、J-LIS(地方公共団体情報システム機構)などの機関でも、すでにパスワードの定期変更について言及することをやめており、これまでのパスワード定期変更是非の議論にも一定の方向が示されたといえます。
2.パスワード定期変更のリスク
なぜパスワードを定期的に変更するということが対策とされていたのでしょうか。例えば、10桁の複雑なパスワードを設定していたとします。仮にパスワードを解析するのに「5年」かかるとすると、定期的にパスワードを変えることで、解析中の処理が無駄になるので、パスワードが破られにくくなるということが定期変更を推奨していた理由になります。
また、8桁の複雑な(英数大文字小文字記号混在)パスワードを設定していたとします。PCの性能や、条件にもよりますが、5年前であれば、「数年」で解析できると言われていたものが、今や「数時間」で突破できると言われています。これが10桁になると、「数年」になり、12桁になると「数千年」になります。一方で、10桁以上のパスワードとなると、覚えるのに一苦労です。しかも「定期的に変更してください」「サイト毎にパスワードを変えてください」と言われると、確かに、セキュリティ上はその方が良いのですが、人間の記憶や能力には限界があるので、どうしても、ルールが複雑になればなるほど、覚えやすいキーワードや規則性を持ったパスワードになってしまいがちです。
実際に、定期的にパスワード変更を求められると、多くの人は新しくパスワードを作るのではなく、「同じパターンで1~2文字を変えるだけ」であったり、「いくつかのパスワードを用意して切り替えていくだけ」といった単純な行動になりがちです。
例えば「Password!1」というパスワードにして、定期的にパスワードを変えるときに「Password!2」としても、ルールには沿っているわけですが、10桁といえども数秒で解析されてしまうようなパスワードになってしまいます。これこそが(このような実態が明らかとなっているからこそ)、「パスワードは定期的な変更を推奨しない」という理由の一つです。
もちろん、規則性のないパスワードを作成できるのであれば、自主的にパスワードを定期的に変更するのは、やるべきだと思います。ただし、どうしても定期的にパスワード変更を呼びかけると、安易なパスワードになってしまいがちということです。多くの利用者が、このようなわずかな「変換」しか実施しないことを悪意ある第三者はよく知っていて、予想可能な簡単な変換を、自分のプログラムやパスワード解読の手順に組み込んでいます。つまり、利用者に定期的なパスワード変更を要求することが、結果的にはパスワードの安全性を低下させる要因になっているということです。
ただ、パスワードの定期変更が推奨されなくなったとはいえ、絶対にパスワードを変更するなという意味ではありません。利用しているサービスの提供元が情報流出事故を起こし、パスワードの漏えい被害に遭った場合や、誰かがなりすましてSNSやクラウドサービスを悪用する恐れがある場合は当然速やかにこれまで使っていたパスワードを変更すべきです。必ずしも、まったく変えないほうがいいという訳ではなく、そんなに効果がないというのが正確かもしれません。
3.ID/パスワードによる認証の問題
ID/パスワード認証は「(基本的には)セキュリティが強く、かつとても使いやすい」優れた認証方法です。一方で弱点もあり、それが「記憶や記録から外へ出た瞬間、無防備になる」という点です。また、「パスワードがたくさんありすぎて覚えられない。設定したパスワードが難しいとなかなか覚えられない」といった点も挙げられます。
パスワードは、それ自体は強固なのですが「きちんとした管理が難しい」という大きな弱点も確かにあるので、その点を強く意識する必要があります。
インターネットショッピングやオンラインバンキング、SNSなど、私たちは日ごろ、多くの会員制サービスを利用しています。各種インターネットサービスの多くは、IDおよびパスワードによる本人認証方式が採用されています。こうしたサービスのアカウント作成時には、ほとんどの場合、ID/パスワードの登録が求められますが、利用するサービスが増えれば増えるほど、アカウントの管理がおろそかになったり、面倒がってパスワードに単純な文字列を指定したり、複数のサービスに同一のID/パスワードを使い回したりしている利用者も多いかと思います。もしかすると、何らかの理由で使わなくなったサービスのアカウントをそのまま放置している方もいるかもしれません。もし悪意のある第三者にそのIDおよびパスワードを知られた場合は、不正にサービスやシステムログインされ、個人情報漏えいや金銭被害などの被害に遭う恐れがあります。悪意ある第三者が不正にサービスやシステムにログインする主な目的は、「不正送金」「不正購入」「不正操作」といったものが挙げられます。IDやパスワードなどのログイン情報が漏えいすると、誰でも本人になりすますことが可能となるため、ネットショッピングで勝手に商品を購入されたり、インターネットバンキングを通じて別の口座に送金されるといった金銭的な被害に遭う可能性があります。また、他人にSNSのアカウントにログインされてしまうと、不正なサイトへ誘導したりマルウェアを拡散するような悪意のある投稿をされる(場合によっては犯罪行為に加担させられる)可能性もあります。総務省が公表している不正ログインによる被害状況をみると攻撃者がどのような目的で不正行為を行っているのかがわかります。
▼総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
【主な被害】
- 自分のネットバンキングから知らない口座へ勝手に振り込みが行われた。
- クレジットカードを不正利用されて、勝手にショッピングサイトで買い物をされたり、オークションサイトで品物を落札されたりした。
- ネットゲームを勝手に操作された。
- 自分名義で、迷惑メールが大量に送信された。
- 自分名義で、SNSやブログ、掲示板を使って誹謗中傷を発信されるなど、嫌がらせ行為が行われた。
- ダイレクトメールが頻繁に送られてきたり、商品の売り込みや勧誘の電話がかかってきたり、訪問販売が来たりするようになった。
- 詐欺、恐喝、ストーカー被害を受けるようになった。
ただ、このような危険に晒されながら、不正にログインされる行為の手口の内訳は、利用者の「パスワード設定・管理の甘さにつけ込んだもの」が多くの割合を占めています。
4.パスワード使いまわしのリスク
実際に流出したパスワードをもとに、セキュリティが脆弱なパスワードのランキングを公表している企業があります。実は、このランキングの内容は毎年変わっていません。「123456」や「qwerty」など、漏えいの上位は簡単に推測できるパスワードが常連です。何よりも問題なのは、危険性を指摘されていながらも、安易なパスワードを使い続けたり、使い回す人たちがあまりにも多いという現実です。
安易に推測できるパスワードを使っていると、既に指摘したとおり、犯罪の被害者になるだけでなく、加害者になってしまう可能性もあります。たとえば、電子メールのパスワードが盗まれれば「犯人」は自分になりすまして友だちにメールを送り、コンピューターウィルスや詐欺サイトのリンクをばらまくことができます。知り合いからだと思うと安心して添付ファイルを開きがちで、危険が大きいといえます。
また、サービス運営者がアカウント情報を流出させてしまった場合に、利用者がパスワードを使い回していたために、同じパスワードを使っていた他のサービスにも侵入されてしまうケースもあります。このような事故は、流出させてしまった運営者の問題ですが、結局パスワードの使い回しで不利益を被るのは利用者です。
(1)サービス提供者が見抜けないパスワードリスト攻撃
他人が予想できないように複雑なパスワードを設定していても、簡単にパスワードを破られてしまう可能性があります。
「パスワードリスト攻撃」とは、その名のとおり、何らかの方法で事前に入手したIDとパスワードの「リスト」を用いて、ログインを試みる攻撃です。といっても攻撃対象サイトへ不正アクセスし、事前に情報を盗み出すわけではありません。
では、入手先はどこかといえば、「まったく別のサービス」や、外部流出したアカウントリストなどと見られています。「攻撃対象と関係ないサイトのIDとパスワードを入手しても意味がないのではないか」と思うかもしれませんが、一定の割合で攻撃が成功します。なぜなら、攻撃者のターゲットは、「パスワードの使い回し」を行っている利用者だからです。
自動的に連続入力するプログラムを利用して、事前に入手したリストを用いて、次々にログインを試行します。例えば、あるサイトに対する攻撃では、約1500万件のアカウントに対して不正ログインが試行され、そのうち成功、つまり、本当にログインできた割合は、わずか0.15%に過ぎません。しかし、それでも使い回しを行っていたと見られる約2万4000件のアカウントへのログインが成功したことになります。
さらに厄介なのは、この攻撃は、サービス提供者の目を欺く点にあります。同じ利用者IDで何度もログインに失敗すれば、異常を検知し、ログインに制限をかけることもできますが、「パスワードリスト攻撃」では、同じ利用者で何度もログインを試行するのではなく、次々とIDも変えながらログインを試みるため、例えパスワードを誤ったとしても1件のIDに対する失敗の回数が少ないことになります。よって、正規の利用者がたまたまパスワードの入力を誤っただけなのか、悪意ある第三者が試行したのか、サービス提供者側が判断するのは非常に難しくなります。
どのサービスにも、「パスワードの使い回し」を行っている利用者が一定の割合で存在するため、リストさえ入手してしまえば、一定の割合で侵入、乗っ取りが成功することになります。
(2)暗号化されたパスワードの漏えい
サービス提供側からパスワードが漏えいしたという事案がしばしば発生しますが、通常、基本的にはパスワードを安全のために暗号化して保存しているはずです。パスワードが暗号化されていれば、たとえ漏えいしたとしても、手に入れた人には判読できないはずですが、問題になることがあります。
パスワードを使うサイトでは、パスワードを「一方向関数」というもので暗号化して保存します。一方向関数とは「暗号化すると元のパスワードへ戻せない」といった意味です。では、パスワードが正しいものかどうかは、どのように判断されるのでしょうか。まず、入力されたパスワードを同じ一方向関数で暗号化し、保存されている暗号化されたパスワードと比較します。それが同じものであれば、パスワードは正しい、と判断されます。これなら、サイトがハッキングされても「暗号化されたパスワード」が漏えいするだけで、一方向関数のため、元のパスワードに戻せないため安心です。ところが、どのような一方向関数が使われたのかが分かっていると、危険性が一挙に高まります。攻撃者は、以下のような手順でパスワードを判読します。
1.パスワードになりそうな適当な文字列を作成し、一方向関数で暗号化
2.暗号化されたパスワードと、漏えいした暗号化パスワードを比較
3.同じであれば、先ほどの文字列がパスワードであることがわかる
4.違っていれば再度試みる
もし、攻撃者がこうした処理を1秒間に10回行えるパソコンを使っているなら、1時間に3万6000回、1日では100万回程度、チャレンジができます。パスワードが8桁の数字(1億通り)であれば、100日で1億通りが判明します。10台使えば10日、処理速度が10倍速いマシンを10台使えば、わずか1日の作業です。サービス提供側から漏えいした暗号化パスワードの数が大きくなると、この試行の効率がはるかに高まります。漏えい件数が1万件であれば1万倍、10万件なら10万倍同時に比較できるからです。結局のところ、かなり複雑で長いパスワードを設定していないと、パスワードは比較的容易に解読されてしまう運命にあります。
上記の例は、攻撃側は情報漏えいしたサイトで利用している「ユーザーID・パスワード」を入手した”だけ”です。ですから本来であれば、被害はこのサイトだけで済むはずです。情報漏えい事故が発生したサイトはパスワードをリセットする等の対策を行うので、被害はくい止められるはずです。ところが、ここでもパスワードの使い回しが問題になります。攻撃者は、発見した「ユーザーID・パスワード」の組み合わせを、ほかのサイトでも試してみます。偶然にもログインが成功すれば、そのサイトでも悪事を働くことができます。つまり、Webサイトからパスワードが漏えいした場合は、被害はひとつのサイトで終わらない可能性があるということなのです。
(3)企業に求められる対策
パスワードリスト攻撃による不正ログインの被害は、主にポイントサイトや、eコマースサイト、SNSなど、一般消費者向けサービスで発生しています。
そのため、企業における従業員のアカウントやシステムにはあまり関係がないと思っているかもしれませんが、その考えは危険です。
そのような環境において、従業員が、個人で利用しているサービスと会社のシステムで利用するパスワードを厳密に区別しているとは限りません。もし、業務で用いているIDやパスワードが、外部で漏えいしてしまえば、業務システムが不正アクセスを受ける可能性も否定できません。
今のところ、不正ログイン攻撃は、「数打てば当たる」の手法で、一般消費者向けサービスに目が向きがちですが、標的型攻撃が執拗に企業を狙っていることからもわかるように、いつ企業のネットワークやシステムに矛先が変わり、漏えいしたIDやパスワードを悪用してくるかわかりません。
また、最近は「Office 365」や「G Suite」といったクラウド型のメールサービスを利用する企業が増えています。日本マイクロソフトによれば、日経平均株価を構成する225社の約8割がOffice 365を導入しているといいます。メールサーバーを自社に設置・運用する手間を考えると、クラウド型に切り替える利点は大きくなります。しかも、スマートフォンやWebブラウザでメールサーバーにアクセスすることができます。このように、業務効率上の利便性は高まるのですが、不正にログインされてしまうリスクも高まってしまいます。クラウド型メールサービスは基本的にはどこからでもアクセスできます。入り口の認証をパスワードだけで守っているケースが多いため、サイバー犯罪者がフィッシング攻撃やソーシャル・エンジニアリングなど何らかの手段でパスワードを入手すれば、過去の送受信メールをすべて見られる状況になってしまいます。
社内ネットワークにメールサーバーを置く場合に比べて、クラウド型メールサービスでは不正ログインに気づきにくく、攻撃者が不正ログインを試みる通信が社内ネットワークを通らないため、システム管理者が気づかない間に不正ログインされるケースが多くなります。本人やシステム管理者が気づかない間に、過去にメールでやり取りした個人情報や営業秘密などが第三者に筒抜けになってしまうこともあるということです。本人になりすまして取引先や顧客にメールを送ることができるということは、巨額の金を詐取するビジネスメール詐欺(BEC)や機密情報漏えいの温床となりかねません。
パスワードリスト攻撃の被害を防ぐには、パスワードの使いまわしを避けることに尽きます。サービスやアカウントごとにパスワードが異なっていれば、もし、管理が甘いサービスからアカウント情報が漏れても、他のサービスまで被害が及ぶことはありません。
企業・組織では、必ずパスワードについてルールを定め、従業員が業務で利用するパスワードについて使い回しが行われないよう管理し、その危険性と重要性について周知を徹底する必要があります。
5.危険なのは使いまわしだけではない
企業・組織にも問われる「パスワード管理」の徹底ですが、当然ながら危険な行為は「パスワードの使いまわし」に限った話ではありません。確かに「パスワードの使いまわし」を避ければリスクは低減できますが、これはあくまでパスワードリスト攻撃への対策としての話です。
「総当たり攻撃」や特定の単語を試す「辞書攻撃」は、依然として発生しています。
パスワードを覚えるのが面倒なユーザーが、「111111」や「123456」「password」など単純な文字列を用いているケースは後を絶ちません。こうした脆弱なパスワードは、攻撃者はもちろん、マルウェアが端末やサーバーへ侵入する際にも突破されてしまいます。「使い回し」以前の問題です。
もちろん、生年月日をはじめ、容易に予測できる文字列も御法度です。最近ではSNSのプロフィールで生年月日を公開しているケースも多く見受けられるため、そこから推測できることもあります。
そして、マルウェアやフィッシングへの対策も決して忘れてはなりません。これらも、パスワードが漏えいする原因となり得るからです。
キーボードの入力操作を盗み取るマルウェア「キーロガー」や偽サイトへ誘導してIDやパスワードを騙し取る「フィッシング」も依然として多く発生しています。せっかく強固なパスワードを設定し、使い回しを避けても、マルウェアやフィッシングなどによって盗まれてしまえば意味がないということです。
パスワードの安全管理は、利用者の意識や心がけに依存する部分が多いのが事実ですが、使いまわしを避ける、複雑なパスワードを選ぶ、不用意に教えたり入力しない、メモをしっかり管理する、など利用者側の行動にかかっています。
6.ID/パスワードの厳重な設定、管理に向けて
<推測されにくい複雑な文字列で>
パスワードの設定は、推測されにくい文字列にすることが大事です。大文字と小文字、数字や記号を混ぜ、可能であれば10文字以上のできるだけ長い文字列に設定するようにしましょう。複雑ながら覚えやすいパスワードの作り方として、「コアパスワード」という手法があります。これは、”短いフレーズを決めて、それに任意の変換ルールを適用して、「強度の高い(推測されにくい)パスワード」を作成する”というものです。たとえば「onikutabetai」というベースパスワードを作り、大文字小文字数字を混ぜ合わせ「onikuTAbetai!!55」に変更し、さらに利用サービスに応じて「SPNonikuTAbetai!!55」と文字を付け加え、それぞれ使い分けるというやり方もあります。
- 可能な限り多くの文字を使用する
- 大文字と小文字を組み合わせる
- 数字、句読点、記号を入れる
- 名前や誕生日のような個人情報、メールアドレスの@の前の文字列は使わない
- 地名や辞書にある単語は使わない
<同じパスワードを使い回さない>
また、初期パスワードは必ず変更し、利用するサイトやサービスごとに同一のパスワードを使い回さないことです。
無料でメールアドレスが付与されるサービスなどの中には、メールアドレスの中にユーザーIDがそのまま使われていることがあります。この場合、容易に第三者からユーザーIDが推測される可能性がありますので、可能であれば、ユーザーIDかメールアドレスか、どちらかを変更しておくことが推奨されます。
<人目に付くところに書いておかない>
次に、パスワードの管理です。パスワードを書いたメモを、人目に付くところへ貼らないようにしましょう。場合によっては、手帳など他人に見られない場所に書いて保管することも有効です。その際は、他の文字を追加するなどして、生のパスワードをそのまま記入しないようにし、書かれたものがパスワードであることが他人から悟られないようにする工夫が必要です。
ID・パスワードを管理できる「パスワード管理ソフト」を利用することも一つの方法です。パスワード管理ソフトとは、複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できるソフトのことで、当該ソフトを利用するためのマスターパスワードを1つ覚えておけば、その他のパスワードを覚えておく必要がなくなるというメリットがあります。一方、マスターパスワードの管理をずさんにしてしまうと、一瞬にしてすべてのパスワードが漏れてしまう危険性があります。また、過去には、クラウド型パスワード管理ツールがハッキングによって、登録されているメールアドレスや秘密の質問が漏えいしたこともあり、そもそもどのパスワード管理ソフトが信頼できるか見極めることが難しいといえます。管理ソフトを利用すれば、安易に「これだけやれば安心」とはならないことにも注意が必要です。
<多要素認証の活用>
ID/パスワードによる認証は、利用者の記憶力に依存するところに問題があります。こうした認証を必要とするサービスは、利用者1人当たり17~20種類を利用しているともいわれ、これだけの数のログイン情報を記憶することには無理があります。そこで、サービス側で対応するケースが増えてきています。
主要なSNSやクラウドサービスで、「二段階認証」と呼ばれる仕組みを利用することも一つの安全策となります。IDとパスワードによる認証に、もう1段階、携帯電話やスマートフォンスマホを使った認証を加える方法です。
通常は、IDとパスワードが盗まれれば不正アクセスが可能になりますが、二段階認証では、IDとパスワードだけではログインできません。通常のIDとパスワードを入力後にあらかじめ登録しておいた携帯電話やスマホ宛にSMS(ショートメッセージサービス:電話番号を宛先に指定し、短いテキストメッセージを送受信できるサービス)が来ます。その中に記載されているセキュリティキーを入力しないとログインできない仕組みになっています。つまり、登録済みの機器が手元になければログインできないというものです。そのため、万が一IDやパスワードが第三者に知られたとしても、セキュリティキーがわからないためログイン出来ない、もしくはロックがかかり不正アクセスできないようになっています。
また、スマートフォンには、指紋認証や顔認証、虹彩認証といった生体認証機能を搭載する機種も多く、多要素認証を実現できる機器になります。生体認証機能があれば、たとえ紛失や盗難に遭った際でも、第三者による悪用を防げます。企業向けの資産管理製品においても、スマートフォンへの対応が進んでいるため、スマートフォンを認証機器として活用するケースは増えそうです。
<基本的なマルウェア対策を欠かさずに>
サービス利用時は、ログイン時にID、パスワードを入力する前に、Webブラウザのアドレスバーのドメイン名を目視確認し、正規のサイトであるかどうかを確認するクセをつけましょう。そして、メール等の取扱いにも注意し、メールで送られてきたリンクや、SNS等に掲載されているリンクがどんなに魅力的でも不用意にクリックしたり、リンク先で個人情報を入力したりすることのないよう注意しましょう。
そして、マルウェア感染によるパスワード漏えいを防止するため、端末のOSやソフトウェアを常に最新の状態に保つ、最新のセキュリティソフトを導入してパターンファイルを最新に保つ、ブラウザのプラグインやアドオンは最低限に絞り、最新の状態に保つといった基本的なマルウェア対策を継続することも大切なことです。
<セキュリティ対策の基本であることの認識を>
利用するサービスや機器が増えるにつれ、管理すべきパスワードも増えていくことになります。サービスによって約束ごとはまちまちですが、メモしてはいけないなどと言われれば、考えるのも煩わしく、つい簡単な文字列を使い回しがちです。ただ、パスワードは大切な「鍵」であることは確かです。
安全なパスワード管理を検討するうえで留意すべきことは、問題点が問題のまま放置されている現状に目を向ける必要があります。企業にある特定の情報を狙う「標的型攻撃」はもちろん、不特定多数の利用者を狙う方法も多種多様で巧妙になっているということもありますが、古くからある単純な攻撃が未だに多く利用されています。脆弱なパスワードが多く存在し続けているため、ハッカーからすれば、わざわざレベルの高い手口を使わなくてもいいわけです。
複数のオンラインサービスで同じIDやパスワードを使い回したり、単純な文字配列でパスワードを設定することは、強盗の目の前に家のカギをぶらさげて首を差し出すのと同じ行為だといえましょう。
サービスを利用開始するとき、業務で大事なファイルに「パスワード」を設定することが基本的なルールとなっています。これはサービスの利用者を特定するため、その人しか知らない言葉をよりどころに、その人がその人であるという判断をするための仕組みです。パスワード管理にしっかりとした危機意識を持つことはもっとも身近なセキュリティ対策であり、かつもっとも重要な対策ともいえるでしょう。
2.最近のトピックス
◆サイバー情報共有イニシアティブ(J-CSIP)運用状況[2018 年 1 月~3 月]
サイバー情報共有イニシアティブ(J-CSIP)が2018年第1四半期に把握した「標的型攻撃メール」は101件だったとしています。そのうち80件がプラント関連事業者を狙う攻撃メールだったとしています。
これらの攻撃は前四半期と同様、実在する開発プロジェクト名や事業者名を詐称しており、プラントの設備や部品のサプライヤーに対し、資材や機材の提案、見積もりを依頼する内容のメールを装い、マルウェアを含む添付ファイルを開かせようとしていました。攻撃者の具体的な動機はわかっていませんが、「Excel」の「SLK(Symbolic Link)ファイル」を用いた攻撃が2月に確認されており、「保護ビュー」を有効にしている状態でもマルウェアに感染させられるケースもあり、今後国内に向けた攻撃で悪用される可能性があるとして警戒を強める必要があります。さらに3月には、「Office」の脆弱性「CVE-2017-11882」を悪用する「Wordファイル」を添付ファイルとして送りつけるメールも観測されており、提案や見積もりの依頼を装うケースでは、添付ファイルを早く開封させようと、締め切りを1週間から10日前後に設定しているケースが多いといいます。
制御システムは、電力・ガス・石油などのエネルギー分野や、鉄鋼・化学等のプラント、鉄道、航空等の交通インフラ、電機・機会・食品等の生産ライン、商業施設・オフィスビルの設備管理などで幅広く用いられ、社会・産業基盤を支えています。工場で生産ラインの機械を自動で動かしたり、電気炉の温度を一定に保つために自動で調整したり、産業用オートメーションの自動化・効率化に欠かせないものです。一方で、年々、制御システムに対する不正アクセスやマルウェアの感染などのサイバー攻撃は増加しており、工場の生産ラインの停止や設備損傷、環境汚染等を引き起こし、企業や場合によっては国家レベルで甚大な損失を与える可能性が高まっています。
◆総務省「情報通信白書 for Kids」
4月4日、総務省は、「情報通信白書 for Kids」をリニューアルしました。同サイトは、情報通信メディアの理解を深めてもらう目的で、1999年(平成11年)に公開されたWebサイト。近年のテクノロジーの進展や、子どもたちのIT利用環境の変化等を踏まえ、コンテンツ内容を刷新するとともに、パソコンからスマートフォンまで表示を最適化するマルチデバイスに対応しました。リニューアルのポイントは以下の4点です。
- 「暮らしを支えるインターネット」「インターネットを使ってみよう」「インターネットの安心安全な使い方」「インターネットの活用」の4項目に情報を整理。
- インターネットの利用や脅威等に関する「理解度診断テスト」を充実させ、使いやすくした。
- パソコンからスマートフォンまで表示を最適化するマルチデバイス対応を採用
- 小学校高学年の児童にもわかりやすいよう、仮名漢字の用法や文体について読みやすくした。
社会環境の変化にともない、教育事業者や保護者は、青少年の保護・育成の観点から必要な対策と教育を実施する必要があります。SNSや出会い系サイトのみならず、スマートフォンやインターネットを安全に利用できるようになるためには、うかつに自身の画像をSNSに晒すことの危険性を警告し、トラブルに巻き込まれないための相応の知識と判断力を身につけることが求められています。いま自分がおかれている状況が安全なのか危険なのか、その判断はインターネットの世界では大人でも困難ではあります。それでも、人生経験がまだ少ない子どもには、なおのこと丁寧で十分な教育とフォローが必要だと考えます。
◆情報処理推進機構「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」
3月26日、情報処理推進機構(IPA)は、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開しました。調査によると、委託先に対して「実施すべき情報セキュリティ対策」を仕様書等で明示していない委託元は、特に情報通信業以外は高い傾向を示しており、製造業では71.1%、卸売・小売業で74.2%などとなっています。
また、委託契約に情報セキュリティの課題を聞いたところ、「情報セキュリティ上の責任範囲(責任分界点)がわからない」と回答する割合が、委託元(54.5%)、委託先(44.7%)の双方で最多となりました。
セキュリティ課題としては、委託元では「社内に十分な知見・スキルを持った人材がいない」(63.1%)、委託先では「様々な種類、レベルの受託業務に対応した情報セキュリティ対策を実施することが難しい」(64.5%)がトップに挙げられました。委託元側では人材不足から委託先に対して自社のセキュリティ要件などを適切に提示できず、委託先側では委託元の不明瞭なセキュリティ要件への対応に苦慮している実態が浮かび上がっています。
こうした傾向は業務委託に関する契約にも見られ、委託元および委託先とも最大の課題に「情報セキュリティ上の責任範囲(責任分界点)が分からない」が挙げられ(委託元54.5%、委託先44.7%)、2番目に多いのは、「実施すべき具体的な情報セキュリティ対策が明示されていない」(委託元47.3%、委託先36.0%)でした。
委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいと言えます。
委託元・委託先の関係でいえば、委託元が情報セキュリティを主導し責任を負うのが本来の姿であり、委託元と委託先に共通する情報セキュリティ対策に関する指標の確立や、契約段階における責任範囲と負担の明確化といった取り組みが求められます。
3.最近の個人情報漏えい事故(2018年3月、4月)
下記の表は、今年3月と4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトである「Security Next」、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 協同組合 | 書類紛失 | 水道利用者38名の氏名、住所等が記載された資料 | 委託業者従業員が作業のために持ち出したのを最後に、その所在が分からなくなった |
| 2 | 教育 | メール誤送信 | 約130名の氏名、メールアドレス | 「Bcc」で送信すべき所を「To」で送信 |
| 3 | 市立中学校 | USBメモリ紛失 | 生徒68名の氏名等 | 教員の私物USBメモリで、先月25日、同教員が自宅で使用したのを最後に、その行方が分からなくなった |
| 4 | 介護支援 | 書類紛失 | 利用者14名の氏名、住所等が記載されたファイルの一部 | 誤廃棄の可能性 |
| 5 | 新聞社 | ノートPC紛失 | 企画の当選者265名の氏名、年齢等 | |
| 6 | 電力 | メール誤送信 | 顧客7,659件分のデータ | 本来添付するべきデータとは違うデータを誤添付して送信 |
| 7 | 市 | メール誤送信 | 46名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 8 | 中央病院 | 書類紛失 | 患者35名分の氏名、生年月日等が記載された書類 | 委託業者が運搬している際、道路に散逸 |
| 9 | 中央病院 | ノートPC紛失 | 学会発表に用いるデータベース等の約患者700名分の個人情報 | 同病院では、データは暗号化されていることから、情報流出の可能性は極めて低いとしている |
| 10 | 保健所 | 書類紛失 | 有識者6名の氏名、住所等が記載された文書 | |
| 11 | 電力 | メール誤送信 | 339名のメールアドレス | 宛先を非表示にしなければならないところを、誤って表示したままで送信 |
| 12 | 府立高校 | USBメモリ紛失 | 生徒160名の氏名等 | |
| 13 | 経済産業省 | 誤送付 | アンケート調査票772通 | アンケート調査の委託先事業者が、アンケート調査票を郵送する際、作業過程で住所と宛先にずれが生じたため |
| 14 | 人材支援 | メール誤送信 | 約1000名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信したため |
| 15 | 私立大学 | 書類紛失 | 学生87名の氏名等が記載された答案用紙 | |
| 16 | 市 | 誤送付 | 1名分の住所および氏名 | 対象の人物に通知書を送付する際、誤って別人の通知書を同封 |
| 17 | 県 | メール誤送信 | メールアドレス14件 | 「Bcc」で送信しなかったため |
| 18 | 協同組合 | 書類紛失 | 組合員、利用者あわせて約3500名の個人情報が記載された帳票類 | 誤廃棄の可能性 |
| 19 | 連盟 | メール誤送信 | メールアドレス1077件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 20 | 美容・健康 | メール誤送信 | 顧客390名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 21 | 市 | 書類紛失 | 傷病者の氏名や電話番号などを含む記録票5件 | 誤廃棄の可能性 |
| 22 | 市立中学校 | 書類紛失 | 生徒36名分の個人情報が含まれる文書 | |
| 23 | 市立病院 | ハードディスク紛失 | 患者約50,000人の個人情報 | 同院では、紛失判明前に、事務机等の配置変更を行っており、その際に紛失した可能性があるとしている |
| 24 | 信用金庫 | 書類紛失 | 取引件数約80,000件分を記録した用紙 | 誤廃棄の可能性 |
| 25 | 県 | メール誤送信 | 25名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 26 | 市 | メール誤送信 | メールアドレス466件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 27 | 市立小学校 | SDカード紛失 | 生徒138名の氏名 | |
| 28 | 府立高校 | 書類紛失 | 生徒35名およびその保護者の氏名 | |
| 29 | サッカークラブ | USBメモリ紛失 | 招待者約300名分の氏名や電話番号等 | |
| 30 | 市場 | メール誤送信 | 38名分のメールアドレス | |
| 31 | 体育センター | メール誤送信 | メールアドレス18件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 32 | 市 | メール誤送信 | メールアドレス49件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 33 | 市立小学校 | CD紛失 | 児童の氏名90人分 | |
| 34 | 東京都 | 誤送付 | 氏名1名分 | |
| 35 | システム開発 | ハードディスク紛失 | 不明 | |
| 36 | 国立大学 | メール誤送信 | 23人の氏名や住所、性別、年齢、所属先、経歴、メールアドレスなど | ファイルの誤添付 |
| 37 | 公社 | 書類紛失 | 15人の氏名や団地名、号棟と号室、年齢、世帯構成、訪問日程など | 職員が持参していた訪問世帯リストが突風に飛ばされて紛失 |
| 38 | 市 | 不正アクセス | 氏名や住所、電話番号、性別、生年月日、IDとパスワード、医療保険種別などの情報が含まれる会員の個人情報最大3026件のほか、メールマガジンの登録者最大1万1516件の生年月日とメールアドレス | |
| 39 | 独立行政法人 | システム不具合 | 未受験者62人分未受験者17人、既受験者47人分の情報が含まれ、氏名や受験番号、受験日、受験料金の支払いに用いるチケット番号のほか、受験済みの場合、成績や合格証明書番号などが保存 | |
| 40 | 大学付属病院 | ノートPC、USBメモリ紛失 | 氏名や性別、生年月日、IDのほか、慎重、体重、病歴、既往歴、服薬内容、検査データや所見、手術内容、術後の経過、再発の状態など、同院で治療を受けた患者2961人分の個人情報 勉強会に出席した同院所属の研究生が、帰りに寄り道した都内のゲームセンターで所有するノートパソコンとUSBメモリが入った鞄を盗まれた | |
| 41 | 府立高校 | USBメモリ紛失 | 全校生徒160人の氏名と学年、クラス、出席番号、担任名を含むファイルのほか、NPO法人が校内に設置している相談スペースの生徒の利用状況をまとめたファイルなど | |
| 42 | 市立病院 | 書類紛失 | 患者11人の氏名や性別、生年月日のほか、病名や診療科、紹介元と紹介先の医師名 | 医師が手に持っていた書類が、突風にあおられて飛ばされた |
| 43 | 県 | 不正アクセス | メールアドレス、性別、年齢、都道府県、アンケートへの回答内容など1万2424件 | |
| 44 | エステ | 持ち出し(内部不正) | 員354人分の情報で、氏名や住所、電話番号、性別、会員番号、最終来店日など |
・元従業員が顧客情報を持ち出し、退職後に自身が開業したサロンの営業活動に利用していた。 ・元従業員は、リストに記載された43人分の顧客情報を不正に利用。自身が開業したエステティックサロンを宣伝するダイレクトメールを送付していたという。後日、ダイレクトメールを受け取った顧客から同社へ問い合わせがあり、問題が発覚した。 ・同社では弁護士を通じ、持ち出された顧客リストの原本を回収。ダイレクトメールの送付以外で情報の利用はないことを確認したとしている。 |
| 45 | 市 | 書類紛失 | 利用者10人の氏名や住所、性別、生年月日など | |
| 46 | 新聞社 | 誤公開 | 事前に新潟県から提供された2018年の教職員異動名簿 | 名簿の検索ページから公開前の名簿が検索できる状態となり、さらにSNSなどを通じて情報が拡散したものと見られ、約4時間に約1500回の閲覧が行われた |
| 47 | 市 | 不正取得 | 管理規定で閲覧が禁止されている担当業務とは関係ない人事関連情報など含むファイル44件 | ファイルサーバより関係ない人事情報を不正に閲覧、取得していた職員に対して懲戒処分を実施 |
| 48 | 市立中学校 | パソコン紛失 | 在校生615人分の氏名、学年、学級、出席番号のほか、生徒の入学時からの図書貸し出しデータ | |
| 49 | 市 | メール誤送信 | 児童の保護者500人分のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 50 | 市 | SDメモリカード紛失 | 800枚から900枚ほどの写真を記録しており、約130人分の個人情報 | 事務室内の捜索や職員の聞き取り調査を行ったが発見できず、盗難の可能性もあるとして警察へ被害届けを提出。その後、同市職員の保育士が窃盗容疑で逮捕された。 |
| 51 | 機構 | 不正アクセス | 最大2万1563人のメールアドレスとパスワード | |
| 52 | 府 | 書類紛失 | 申請者39人分の個人情報が記載されていた。氏名やマイナンバー、住所、電話番号のほか、口座情報、本籍や婚姻歴、居住状況、収入、職業、病歴や健康状態、障害の状況など | 2017年5月に職員が気付いたが、情報共有しておらず、公表や対象者への謝罪が遅れたという |
| 53 | 市 | 不正アクセス | 氏名や生年月日、性別、住所、電話番号、学年、組、出席番号のほか、国籍、アレルギー、既往症などの情報のほか、保護者の氏名約4万5000件 | |
| 54 | 連盟 | メール誤送信 | メールアドレス1077件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
| 55 | 協同組合 | 書類紛失 | 顧客の氏名や住所、電話番号、印影、口座番号、取引金額などが記載された入力票1390人分 | |
| 56 | 市立小学校 | 書類紛失 | 在籍する児童476人とその保護者926人、災害時引取り者430人、ことばの教育通級児童9人とその保護者9人の合計1850人分の個人情報 | 同校では10月に紛失へ気付いたものの報告しておらず、5カ月後の通報により発覚した |
| 57 | 市 | 不正閲覧 |
・職員が現在の部署へ異動になる前から長期にわたり、一時的に交付された管理者用のパスワードを業務目的外で使用。業務用パソコンから人事や給与、昇給に関する資料などを不正に閲覧していた。また、職員のパスワード一覧などの保存も行っていた ・同市では今回の問題についてコンピュータの不適正使用にあたり、一部職員でパスワードの変更が必要となるなど、公務に影響を与えたとして、同職員を3月12日付けで減給10分の1、1カ月の懲戒処分とした |
|
| 58 | 県、市 | USBメモリ紛失 | 名や住所、電話番号、生年月日、年齢などのほか、子どもの学校名、貸付口座の口座情報、償還金口座の口座情報、貸付金額など |
・紛失が判明したのは2014年6月下旬。両自治体の担当者レベルで情報交換は行われていたが、上長への報告や内部での引き継ぎは行われず、2018年3月になって同市の子育て支援課が問題を認知した。 ・その後、あらためてUSBメモリの所在や紛失の経緯について確認が行われ、事態を公表した。 |
| 59 | 市立中学校 | 書類紛失 | 生徒と保護者の氏名、住所、電話番号、緊急連絡先、家族構成、卒業小学校、自宅付近の略図などが含まれる。学級日誌には、学習内容や出欠状況など | |
| 60 | ガス | 書類紛失 | リスト661枚で、顧客の氏名や住所、口座番号、検針日、ガス料金など | リストを焼却処分するため運搬していた途中に紛失 |
| 61 | アウトレットモール | 不明 | 会員のメールアドレスやログインパスワードが、外部に流出した可能性があり、その後の調査で、同社が保有する顧客のアカウント情報と外部の情報が一致していることを確認(約24万件のメールアドレスおよびログインパスワードが一致) | |
| 62 | 県立病院 | なしすまし | 研修医52人の氏名と携帯電話番号 | 医師を名乗る者から同病院に勤務していた研修医の個人情報を聞き出そうとする電話があり、誤って事務員が研修医の個人情報を口頭で伝えていた |
| 63 | 市 | 不正利用 | マイナンバー通知カードの再交付申請に訪れた住民に対応した職員が、勤務時間終了後に申請書に記載された連絡先に自身の携帯電話から連絡し、さらにショートメッセージを送信していた | 同市ではこの問題を受け、同職員に対し4月19日付けで減給3カ月とする懲戒処分を行った。また、管理監督者である課長級職員、係長級職員に処分を実施した。 |
| 64 | 私立大学 | USBメモリ紛失 | 参加者48人の氏名、年齢、体力測定値、問診内容など | |
| 65 | システム開発 | 不正閲覧 | 同社製品に対してウェブから問い合わせを行った顧客の情報を、元従業員が営業管理ツールに不正ログインして閲覧。転職先である医療予約技術研究所の営業活動に利用していた | 製品の問い合わせ情報を管理している営業管理ツールのアクセスログに不審なIPアドレスから共用IDにより、ログインされていたことが判明したほか、元従業員が務める医療予約技術研究所より、営業管理ツールにログインしていたとの報告を受けた |
「52」と「56」の事案は、昨年書類紛失の事故が発生したものの、組織内での報告や被害者への連絡を実施しておらず、第三者からの通報で発覚したものです。
もし情報が記載された書類や、パソコンが紛失・盗難された場合、迅速に事実を組織内で共有し報告させる必要があります。しかし、本事案に限らず迅速な報告がなされないことも多いのが事実です。その理由は、「自分のミスがバレないのであれば、黙っておこう」「もう少し探せば、きっと見つかるはずだ」「処分を受けたくない」などがあげられるかと思います。それ以外の理由として、「報告しづらい」というものもあります。報告内容がネガティブであればそもそも報告しにくく、普段からあまりコミュニケーションをとっていない相手であれば、なおさらです。そしてもう一つ迅速な報告がなされない大きな理由として、「自分1人で対処する」と考えてしまうことです。「会社に迷惑をかけたくない」という思いからの場合がありますが、実際に1人で事故に対処できることはまずありません。
だからこそ、迅速に事実を報告するのが最善かつ唯一の対策であることを平時から周知しておく必要があります。そして、実際に事故が発生した際に、迅速な報告ができ、それを受けて判断・行動できる体制を作ることが重要です。さらに体制や手順が上手く機能するように、組織内のコミュニケーションを見直し・強化しておくことも大切です。
「62」の事案は、口頭での情報漏えいです。医師を名乗る者から電話があり、事務員が研修医の個人情報を口頭で伝えていたというものです。本事案のような、電話を利用したソーシャル・エンジニアリングは、対面しないためターゲットに近づいて情報を入手しやすいのが特徴で、昔からある代表的な手口です。何らかの方法でそのターゲットとなるサービス等のユーザー名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。また、逆に管理者になりすまして、直接利用者にパスワードを確認するといったこともおこなえます。
ソーシャル・エンジニアリングとは、情報セキュリティ分野では、機械的(mechanical)な手段や技術的(technical)な手段ではなく、「人」の行為や行動における心理的(psychological)な弱点を狙う手法により、個人情報や機密情報などを詐取する行為や手口のことを指します。情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、「人」の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指し、場合によっては、フィッシングやトロイの木馬などのマルウェア(悪意を持ったソフトウェア)を使った手法なども、ソーシャル・エンジニアリングに含まれます。これらは、不正アクセスなどを成功させるための補足手段として用いられることもあります。
ソーシャル・エンジニアリングは、「人」に錯誤を生じさせ不正プログラムをその「人」自らに実行させるための「騙しのテクニック」として、標的型攻撃において利用されています。ソースコードやプログラムの脆弱性とは異なり、「人」の心理の隙を完全に防ぐことはできないため、攻撃者にとって、人的な脆弱性を利用した悪意ある攻撃の実行可能性は高いと言えます。
また、企業における情報漏えいリスクの一つとしてクローズアップされている産業スパイやサイバースパイ活動は、攻撃の前にソーシャル・エンジニアリングを利用して標的社員に近づくともいわれており、最近では、Facebook、Twitter等のSNSを利用し、組織内の特定の従業員になりすますことにより、標的社員の情報を取得するといった手口もあるので注意が必要です。ソーシャル・エンジニアリングの手口は標的型攻撃メール以外にもさまざまな種類があり、古典的かつ典型的な手口として以下の3種類が挙げられます。
(1)なりすまして情報を聞き出す
一般的な手口として、上司になりすますことで権威に弱い人間から情報を詐取する手口や、同僚や仲間を装うことで相手が心を許し、善意から情報提供することを狙いとする手口が用いられます。原理的には、相槌を打ったり、質問をしてみたり、関心があることを装うことで、対象者に次々と情報を出させるように仕向ける手法です。例えば、以下の手口が挙げられます。
- 社内のシステム管理者になりますまして、利用者から情報を引き出す。
- 初心者の利用者や女性社員になりすまして、システム管理者から情報を引き出す。
- 取引先、見込み客、実在する顧客になりすまして、情報を引き出す。
- 公共サービス部門の関係者等、第三者になりすまして、情報を引き出す。
(2)ゴミ箱や廃棄処理されていないものをあさる
ハッキングの対象として狙ったネットワークに侵入するために、ゴミ箱やゴミ捨て場に捨てられた資料から、ユーザー名やパスワード等の情報を探し出す手口です。トラッシング(Trashing,Dumpser Diving)、あるいはスキャベンジング(Scavenging)とも呼ばれ、ゴミとして廃棄された書類などから目的の情報を盗みだす手口を指します。不用意にゴミ箱に捨てたメモ書き(得意先の担当者氏名や電話番号、住所などを書き込んだものなど)だけではなく、CD、DVD、USBメモリなどの記憶媒体をそのまま捨てたものもターゲットとなり得ます。外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングといわれています。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバーやルーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名やパスワードといった情報を探し出すものです。具体的には、業務終了後、従業員が帰宅した深夜などに、企業のゴミ収集場に忍び込み、収集される前にゴミをあさるということもありますので、廃棄等の手順やルール、委託先等の管理についても、このような視点であらためて確認する必要があります。
(3)肩越しや背後から入力内容を見る
パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る手口です。単純な手口ですが、成功すれば労せずしてパスワードやクレジットカードの番号等を入手することができます。清掃業者や運送業者を装い、社内へ侵入する場合もあれば、社外で移動中の端末操作を盗み見されることもあります。パソコンに向かっている操作者の背後に回り、入力しているパスワードや不在者の机上に置かれた手帳、重要な書類などを盗み見られることもあるので注意が必要です。
※その他、昔から言われていることですが、エレベーターの中やオープンスペース、飲食店、喫煙所での会話も要注意です。悪意はなくとも、大声で社内に関することや、業務内容を話していれば否が応でも耳に入ります。
ソーシャル・エンジニアリングの手口は、多岐にわたり、臨機応変に人間の心理につけ込み情報を詐取するため、技術的な対策は必ずしも有効ではありません。日常の業務における対策として有効なことは、ソーシャル・エンジニアリングの脅威に対する理解と警戒であり、基本中の基本である情報管理ルールの周知徹底に注意を払うことです。また「そんなあからさまな手口には騙されるわけがない・・・」との思い込みや過剰な自信を排除していくことも重要です。
また、口頭での情報漏えいに関する報告件数は少ないものの、家族や友人、職場の仲間内でうかつに重要情報を発言してしまい、漏えい事故に発展するケースは以前からあります。
また、本事案のように申出者が本人であるかの確認を十分におこなわないまま、本人以外の第三者に個人情報を伝えてしまった等の事故もあります。更に、業務上知り得た個人情報を、「ウワサ話」のような軽い気持ちで誰かに伝えたことによって、苦情に発展するような場合もあります。どこで、誰が、会話を見聞きしているかはわかりません。また、それを相手が、どこでその情報を拡散しているかもしれません。特に、移動中の電車内や休憩所、喫煙所、居酒屋などでの会話が重要情報の漏えいになる可能性があるので、注意が必要です。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
