高度な標的型攻撃や、内部不正による情報漏えい事故が後を絶たない。近年起きたセキュリティインシデントでいうと「年金情報流出」や、某通信教育事業社が起こした「スマホによる顧客情報持出し・転売」が記憶に新しい。これらの組織が引き起こした情報流出事故は、個人情報を保有しているどんな企業や組織でも起こり得る。他人事ではない。
今回はこの2つの情報流出事故の原因から、今企業に必要な情報漏えい対策について改めて見直していきたい。
事例1 スマホを使った顧客情報持ち出し |
|---|
この事件で改めてスマホがUSBメモリと同じような外部記憶媒体として利用できることを再認識したという方がほとんどではないだろうか。普段から何気なく充電目的でPCにUSB接続することは誰にでもあるはずだ。これをきっかけに、スマホが接続制御されていないことに気付いたのがこの事件の概要だ。
しかもUSBメモリに関しては利用制御できていたが、スマホやデジカメのように特有のファイル転送方式「MTP(Media Transfer Protocol)」や「PTP(Picture Transfer Protocol)」での接続制御まではできていなかったことがデータ持ち出しに繋がってしまった。
しかしこの事件が起きるまでは、スマートフォンやデジカメがUSBメモリと同じような使い方をされ、情報漏えいに繋がるとは思っていなかった人がほとんどではないだろうか。更にデータが持ち出され始めてから発覚まで、約半年以上の時間がかかっていた。PCの操作状況を知るための「操作ログ」を取得できていたにも関わらず、禁止行為が行われた時のアラート通知設定など取得したログの活用までは手が行き届いていなかったようだ。
事例2 標的型メールきっかけで遠隔操作年金情報流出 |
|---|
|
|
「標的型メール」と聞いて、怪しいメールは開封しない自信がある!という方は要注意だ。最近の標的型攻撃は非常に巧妙化しており、あたかも自分の業務に関係のあるメールだと思い込ませるような内容のものが多い。既に添付ファイルまで開いていて、社内にウイルスが蔓延してしまっていることも考えられる。この状況になってしまったら、企業の重要なデータが抜き取られていたとしてもすぐには気づきにくく、気づいたときには手遅れだ。以前は手当たり次第にマルウェアを送りつけるケースが多かったサイバー攻撃だが、最近の傾向では予め狙う情報や組織を定めた標的型攻撃が増加している。
企業には先に説明したスマホを使った内部不正による脅威と、標的型攻撃のような外部要因による脅威、両側面からの脅威に対して日頃から備えておく必要がある。どこかの企業で情報漏えいが起きる度にセキュリティを強化するのではあまり意味がない。対岸の火事と思わず、明日は自分に振りかかるかもしれないと意識して、今自社に必要なセキュリティ対策を検討していただきたい。
Windows 11バージョン24H2のエクスプローラーに問題、Microsoftが修正
