「情報漏洩を未然に防ぐ」意識改善でできるセキュリティ対策
サイバー攻撃が多様化する現在、セキュリティ対策の重要性は日に日に増しています。情報漏洩は企業の社会的信用の失墜や損害賠償責任を発生させるため、経営に大きな影響を及ぼします。人の心理的な弱点を突いてくるソーシャルエンジニアリングは身近なサイバー攻撃です。
代表的な攻撃手法とそれらの事例、即日実践できる対策について紹介し、最近起きた事件から企業のセキュリティ対策について考察します。
この記事の目次
「ソーシャルエンジニアリングとその対応策をまとめました」
ソーシャルエンジニアリングとは
ソーシャルエンジニアリング(social engineering)とは、情報技術を用いずに行われるサイバー攻撃を指します。攻撃者は人間の脆弱性を突き、IDやパスワード、個人情報などの重要な情報資産を盗み出そうとします。人の脆弱性とは、心理的な油断や行動のミスのことです。
高度な技術を用いて、ネットワークに不正に侵入し、破壊・改ざんを行うクラッキングとは区別されます。しかし、クラッキングを行うための足掛かりとして、ソーシャルエンジニアリングは用いられます。
ソーシャルエンジニアリングの代表例と対策を事前に知っておくことが、情報漏洩を未然に防ぐことへと繋がります。
代表的なソーシャルエンジニアリングを紹介します
ソーシャルエンジニアリングの代表的な例として、ショルダーハック,釣り餌,なりすまし,トラッシングが挙げられます。
ショルダーハック
ショルダーハックとは、盗み見のことです。一番身近に存在するソーシャルエンジニアリングです。バスや電車、カフェなどの公共の場で肩越しに、IDやパスワード、クレジットカードの番号などの情報資産を盗み見するのもショルダーハックの一種です。
ショルダーハックの事例として2017年11月に消防士が上司のパスワードを盗み見し人事情報に不正にアクセスしていた事件があります。
(参照リンク:朝日新聞デジタル)
自らが加害者になってしまわないことは当然として、被害者とならないように注意をして生活をすることが大切です。
ショルダーハックへの対策
- パスワードやIDを入力するときは周囲を警戒する
- 端末にのぞき見防止のフィルムを付ける
- スクリーンセーバーを設定する
上記3つのようなシンプルな方法でショルダーハックは対策できます。ぜひ実践してみてください。
釣り餌
釣り餌とは、ウイルスの入ったUSBメモリやSDカードを餌にネットワークに侵入しようとする手法です。攻撃者は公園のベンチや公共スペースの机の上、駐車場など人の目が付きやすいところにあえて餌をばら撒きます。コロナウイルスにより、リモートワークが推進されたため、USBメモリを駐車場に落とすのではなく、オフィスに郵送で直接送りつけるというような手法も存在します。
USBメモリやSDカードを手に入れると、中身を確認してしまいたくなるのは人間として当然のことだと思います。そのような心理的な隙を突くのがこの攻撃です。
釣り餌への対策
- 不審なUSBメモリやSDカードを見つけてもパソコンに刺さずにすぐに捨てる
なりすまし
なりすましは、その名の通り攻撃者が赤の他人や組織になりすましIDやパスワードを盗み出そうとすることです。
なりすましは大きくビッシングとプリテキスティングの二つに分けられます。
ビッシングとは、銀行や通販サイトなどの有名な大企業を装った偽サイトや偽メールを用いて、IDやパスワード、カードの暗証番号などを盗み出そうとする攻撃のことです。
プリテキスティングとは攻撃者が顧客や業者になりすまし、電話やメールで直接問い合わせるなどして情報資産を盗み出そうとしてきます。他部署の上司になりすまし、高圧的な態度でパスワードを聞き出そうとするような例もあります。権威に弱いという人間の心理を突いています。
なりすましへの対策
- ドメインをしっかりと確認し本物かどうか確かめる
- 電話でのIDやパスワードの問い合わせに対して本人確認を徹底する
- IDやパスワードの開示に関するルールを順守する
情報を開示する相手が信用に値するかどうかを慎重に判断し警戒することが、なりすましへの対策となります。
トラッシング
トラッシングとは、ゴミ漁りのことです。廃棄された書類やSSDやHDDなどの記憶媒体から情報資産を盗み出そうとする行為です。清掃員のふりをして企業のゴミ収集所に忍び込んだり、誰もいない深夜に企業のゴミ捨て場を漁ったりするような事例があります。
トラッシングの対策
- 不要な書類はシュレッダーにかけてから処分する
- 不要な記憶媒体に対しては物理的破壊を行ってから廃棄する
ゴミには重要な顧客や社内の重要な情報が含まれている可能性があります。復元できないように物理的に破壊してから廃棄するという仕組み作りが大切です。
「直近の事件からソーシャルエンジニアリングと情報漏洩について考えます」
2022年6月23日に、兵庫県尼崎市で46万人分の個人情報が入ったUSBメモリを紛失する事件がありました。市から特定給付金事業の業務委託を請け負っていた会社が無断で再委託しました。その再委託先の会社の社員がUSBメモリを紛失しました。後日USBメモリは発見されましたが、この事件を発端とし、ソーシャルエンジニアリングが行われる可能性があります。
一つの可能性としては釣り餌です。悪意を持った攻撃者が、 紛失したUSBメモリを思わせるようなメモ付きのUSBメモリを尼崎市に落としておくというようなことが考えられます。実際、フリーマーケットサイトのメルカリには一時、「尼崎のUSBメモリ」という商品が45万2600円で出品されていました。商品情報の最後には「Les choses sur cette page sont fictives.」と記されていました。これはフランス語で「このページに掲載されていることはフィクションです。」という意味であり、悪戯目的の出品であることは明確です。
また、なりすましが行われる可能性もあります。この事件に乗じて、警察や金融機関などになりすまし個人情報や金銭を要求する詐欺への注意喚起を尼崎市は呼びかけています。この事件を受けて、政府は日本の各自治体に対しセキュリティ対策の徹底を呼びかけました。
今回の事件は、重要な情報を取り扱う際のルールが形骸化されてしまったために起きてしまったと言われています。従業員が故意、過失に関わらずルールを破ることを内部不正と言います。
2014年に起きた、ベネッセの顧客情報流出は派遣社員の内部不正が原因です。この情報漏洩によりベネッセは260億円の特別損失を計上しました。
社内や官公庁で情報漏洩を防ぐためのルールを定めていたとしても、それらのルールが形骸化しては本末転倒です。
内部不正による情報漏洩を起こさないためにも、社員教育の徹底が重要なのではないかと思います。
まとめ
今回はソーシャルエンジニアリングの代表的な攻撃手法と、すぐに実践できる対策について紹介し、尼崎市の事例からこれから起こりうるソーシャルエンジニアリングの可能性と、セキュリティ対策の重要性について考察しました。
- 外で重要な情報を取り扱うときは人目に注意を払う
- USBメモリやSDカードを拾っても絶対に再生しない
- 通信している相手が本物かどうか疑う
- ゴミにも重要な情報が含まれていることがあるので、復元できなくしてから処分する
- 作ったルールを守ることが大切
攻撃者はほんの少しの油断やミスにつけこみあなたの情報資産を盗み出そうとしてきます。
日々の心掛けにより情報漏洩のリスクを減らすことは容易です。貴重な情報資産を守り抜くためにも、今回紹介した対策を是非実践してみてください。
参考「国内におけるソーシャル・エンジニアリングの実態調査 The investigation for real state of affairs of social engineering(山崎 文明)」
