2015年7月7日火曜日

個人情報流出問題にみる、標的型攻撃の脅威と情報セキュリティを考える上で大切なこと

こんにちは。

鷲尾です。

今は梅雨真っ盛りで、どうも天気がパッとしないですね。
天気だけでなく、湿度も高くてジトジトしていますが、実は湿度と気温は大きく関連しています。

なにをいまさらと思うかもしれませんが、湿度が高ければ高いほど暑く感じ、低ければ低いほど寒く感じます。夏は気温が高いうえに湿度も高く、冬は気温が低いのに乾燥していて湿度も低いため、より寒く感じるということなんですね。

ということは、室温をただ下げるのではなくて一緒に除湿機も使うとより涼しくなるということですね。(まぁエアコン自体、除湿もしてくれるんですけどね・・・)


さて、みなさんマイナンバー制度はもうご存知ですよね。
以前このブログでも軽く取り上げていますが、Googleトレンドを見てみると、ここ最近急に気になっている人が多いようです。

マイナンバーに関しては、先日の日本年金機構の個人情報125万件流出の件がありましたね。あれ、メールに記載されていた怪しい誘導URLをポチっと押してしまったことが直接の原因ではあるようですが、他にもまずいことがあったようですね。

とりあえず、今のところ今後のマイナンバー制度の施行スケジュールにあまり変化はないようですが、どうなんでしょう・・・


そこで今回は、日本年金機構の個人情報流出問題と照らし合わせながら、「標的型攻撃の脅威」と、「いかにサイバー攻撃に遭わないようにするか」、そして「情報セキュリティを考える上で大切なこと」について、書いていきたいと思います。


■標的型攻撃の脅威
今回の個人情報流出問題の原因は、"それっぽいメール"に書いてあった"それっぽいURL"を開いてしまったことが原因です。

ネット上では、「そんな怪しいURLすぐにわかるだろ」「業務に関係ないメールだと気が付かないほうがおかしい」といった意見もみられます。確かに、標的型攻撃ではなく、不特定多数に送るような"明らかに怪しい内容のメール"であれば、すぐに気がついたかもしれません。

しかし標的型攻撃の恐ろしいところは、実在する会社、部署名、名前、それに送信先の名前(○○様 など、自分の名前)などが正確に記載してあることです。

普段やりとりしているお客様の名前や、会社の上司を名乗るメールで、内容もおかしくなく、添付されているファイル名もなんら不審に見えないメールが届いたとして、みなさんは本当に簡単にわかるでしょうか。

標的型攻撃で作成されるメールは非常に巧妙で、こちらがファイルを開くことになんら懸念がないよう、うまーく作られているのです。







■どのように標的型攻撃に遭わないようにするか
では、どうすれば標的型攻撃に遭わないようすればよいのでしょうか。技術的な解決策はいくつかあるかと思いますが、大企業ならともかく、中小企業などだと、対策を行うのにかかる費用も無視できません。

そこで、まずは個人レベルのセキュリティリテラシーを上げていくところがスタートなのではないかと思います。

そのためには、全社員が他社のセキュリティニュースを対岸の火事と思わずに、自分のところは大丈夫かと危機感を覚え、考えるようにならなければなりません。

「自分は絶対に大丈夫」と胸を張らず、「自分もいつ開いてしまうかわからない」と警戒気味に考えていたほうが、よいのではないでしょうか。オレオレ詐欺と同じですね。

標的型攻撃に少しでも遭わないように、普段からセキュリティを意識しているだけでも、効果はあるのではないかと思います。


■もし感染してしまったら
実はこの個人情報流出問題、他にも大きな問題がありました。それは、"個人情報流出発覚から事件発覚までの対応の遅さ"と、"体制"です。

実は初めてメールの怪しいURLをクリックしたのは5月8日で、担当の職員が最終的に上司に報告したのが5月25日です。この間17日、ウイルスに感染した情報は上に伝わっていなかったことになります。上述した通り、標的型攻撃は完璧に防ぐことが難しいですし、メールを開くのは人間ですから、うっかりということも考えられます。

そうした時に一番重要なのは、"いかに素早く対応し、被害を最小限に抑えるか"です。

現場ではどのような承認フローになっていたのかはわかりませんが、なにかあったらすぐ上司に連絡し、判断を仰ぐというのが当然です。

もし、報告がもっと早ければ、流出件数は減らせたかもしれません(今言っても仕方ないんですが)

そして、体制です。
現在、この個人情報を取り扱っていた部署の担当の方はお休み(現在は復帰されているのでしょうか)されているようですが、今回の流出の責任を、一人で背負っていると聞きます。
私はすべてこの担当の方が悪いとは思いません。それよりも、125万件もの個人情報に簡単にアクセス出来るような状態がそもそもよろしくないのでは?と思います。

感染に気がつくことができたタイミングで、まずは早急に通信が行えないように(LANケーブルを抜く、無線LANを切るなど)し、すぐに上司や情報システム部門に連絡することが重要です。


■情報セキュリティを考える上で大切なこと
ここまで、日本年金機構の個人情報流出を例にあげてお話しましたが、これはどこの会社でもあり得ることです。たまたま今回は大きな場所で発生しましたが、今後自分がウイルスに感染するかもしれませんし、すでに感染していて気がついていないかもしれません。
こうしたことにならないよう、情報セキュリティを考える上で大切だと思うことを2点上げてみました。


"自分の周りの人達のセキュリティリテラシー"を客観的に見てみる
もしこの記事を、普段からサーバやネットワーク、インフラ周りを触っている方が読めば、どういう仕組で情報が抜かれたのか、なんとなく想像がつくと思います。しかし、「自分の周りはみんなちゃんとしてる」と判断する材料は、みなさんと同じ部や課の人たちだけになっていませんか?

しかし、別の領域の業務をされているかたは、なにがどうしてメールを開くだけで個人情報が流出するのか、ピンとこないと思います。

このように、社内の情報セキュリティに関するリテラシーを考えるときは、自分のいる環境だけで判断してはいけません。

技術がある人ない人、関係なくリテラシーを考えなければなりません。
リテラシーは、技術の問題ではないからです。


"慢心しないこと"が重要
自分は絶対にひっかからないと高を括っていると、自分がウイルスの発信元になってしまっているかもしれません。いつ自分が感染してもおかしくない、と普段から意識できれば、例えば定期的なウイルスチェックやクリアデスク(机周りの整理整頓のこと)を意識出来ると思います。

なにも情報の漏洩は、ソフト的な要因だけではありません。
書類の置きっぱなしや、画面をつけっぱなしにしたまま離席したときにたまたま近くにいた人が・・・ということも充分に考えられることを、忘れてはいけません。



【所感】
個人情報125万件流出!というのは確かにインパクトがありますが、数字だけを見て物事の根本的な問題が見えなくなってはいけないなと思いました。

確かに社会に与えたインパクトは大きなものにはなりましたが、発生した原因や経緯はどこの会社でもあり得ることですし、どれだけセキュリティを強化しても最後に判断するのは人間です。

情報セキュリティについてわかったようにぶーぶー言っていますが、私もまだまだまだまだ新米ですから、いつなにをやらかすかわかりません。

そうならないために、日頃からセキュリティ問題やニュースについてアンテナを張っておくのも、ひとつの手ではないかと思います。






以上です。

0 件のコメント:

コメントを投稿