infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

なぜ情報は漏えいするのか、そのキケンすぎる流出経路とは?

2015年の終わりにも大阪府堺市での有権者情報流出事件がありました。ここ数年で情報流出事件は増え続けており、その脅威からはもはや誰も無関心で居られなくなりました。

しかし、そもそもなぜ情報は漏れてしまうのでしょうか。過去に起きた膨大な量の流出事件から導きだせる経路は、大きくわけると以下の7点に集約されるでしょう。

 1. 迷惑メールなどを通してスパイウェア(ウイルス)に感染した
 2. USBメモリなどの大容量記憶装置を紛失した
 3. 機密を含むメールの宛先を間違った
 4. 機密を含むファイルや書類を紛失した
 5. 不正アクセスによる攻撃を受けた
 6. 内部者による個人情報の悪用
 7. 企業などによりあらかじめデバイスにバックドアが仕掛けられていた

それぞれ内容を見ていきましょう。

  スポンサーリンク

 

 

1. 迷惑メールなどを通してスパイウェア(ウイルス)に感染した

流出事件で恐らくもっとも一般的なパターンが迷惑メールなどの被害でしょう。特にGmailなどのフリーメールアドレスは迷惑メールに標的にされており、企業の強力なフィルタリング努力にも関わらず迷惑メールは届き続けています。 

迷惑メールの内容も昔みたいなお色気に訴えた単調なものではなく、例えば業務を装ったり、携帯の契約会社を装うなどして利用者の様々な心理につけ込み、クリックさせようと高度に発達してきています。時にはぱっと見迷惑メールとは気づかないほど巧妙に作成されたものもあり、無警戒でそのようなメールを開いてしまうと不正に改ざんされたサイトやウイルス実行ファイルをクリックする危険性が高まります。

それぞれの例や防御法などは以下の記事で紹介していますが、とにかく重要なのは”メール本文からウェブサイトのアドレスを直接クリックしないこと”、”添付物を開かないこと”に尽きます。

会社のネットワークに繋がっていたとしても迷惑メールは頻繁に届きますから、添付をクリックする際には必ずメールに不審な点がないかどうか確認した上で開く様にしてください。個人で利用しているメールアカウントなら、添付物はクリックしない、ウェブサイトのアドレスは検索エンジンで探しにいく!と決めて行動すると危険性はぐっと落ちるでしょう。

2. USBメモリなどの大容量記憶装置を紛失した

実はかなり多くの流出事件で問題となるのが、USBメモリや外付けハードディスクの紛失・盗難です。大企業などでは業務にUSBメモリや外付けハードディスクなどの使用そのものを禁止しているか、会社で認定した暗号化済デバイス以外は使用不可能とされているところも多いです。そのぐらい、ポピュラーな流出経路だからです。

近年の記憶装置の大容量化・コンパクト化は目覚ましいものがあり、小指ほどもない小さなチップ(MICRO SD)の中に100GBを超える情報が保存できるようになっています。

個人情報などは例え100人分でも、100万人分でも、1GBを超える事はそうそうないでしょう。つまり、昔より簡単に大量のデータを持ち出せるようになっており、コンパクト化により紛失の頻度も上がっています。不正に持ち出されても気づきにくいわけです。

企業においては、USBメモリなどの使用を制限してしまうのが手っ取り早い対策になるでしょう。どうしても必要な場合は会社で暗号化USBメモリなどを貸し出し必要な時のみ使用できるようにするなどが良いでしょう。

特に情報漏えいに気をつけなければならない部署などでは、外部デバイスをPCに繋げた瞬間にその情報がIT部に伝わる監視システムなどを導入するのも一つの手だと言えます。

3. 機密を含むメールの宛先を間違った

業務中に名前の似た違う相手に対してメールを送ってしまった。もしくは大量のCCの中に無関係な人間が多数紛れていた。日々の業務の中でそのようなシチュエーションに遭遇することはよくあるのではないでしょうか。これは、かなり危険な流出経路の一つです。他にも、添付すべきファイルを取り違えてしまうなどということもあるようです。

例えば取引先のメーリングリストがあったとして、それらを全てBCCで送信すべきところをCCに入れてしまった結果取引先が全て分かってしまった。例えば婚活サイトの登録者全員をCCで送信してしまいサイトの登録者が漏れてしまった。

実はこのような事件は例年多数起きています。第三者からすれば小規模な流出、ということで済ませてしまうかも知れません。しかし流出した関係者や企業、更には流出させた当事者にとっては死活問題となりかねません。

重要なメールを送る際には、”どこかに必ずミスがある”という疑ってかかる姿勢でチェックし、問題がないことを自身と、上長にも確認してもらった上で送る様にすることを心がけてください。一手間かけるだけで破滅的な状況を逃れることができます。

古くからは浮気相手に送るはずのメールを本命に送ってしまったなどよくある誤爆事件。現代においては情報セキュリティという形で顕在化してきているようです。メールに限らず、配達書類を間違うこともあるとか。ミスは注意喚起とチェックフローを厳しくすることでしか対処できません。気をつけましょう。

4. 機密を含む書類を紛失した

情報流出事件は情報が流出、つまり関係のない第三者に漏れてしまった事件でしょう。

印刷された重要書類などをハンドリングしていたらどこかに忘れてしまった。酒を飲み過ぎてカバンを置き忘れて取りに戻ったらもうなくなっていた。営業のため外回りをしていたら、どこかの事務所で書類を一部置き忘れてしまった。渡そうと思っていた書類の中に無関係の書類が混ざっていた。

パターンはいくらでも考えられますが、こうした事件も度々起きています。特に外部への流出を伴わない軽度なものであれば社内でいつでも起きているよ、などという方も多いのではないでしょうか。それは、とても危険です。内外関係なく流出の形は同じなため、内部に対して起きるなら外部に対しても十分おき得るからです。 

重要な書類にはスタンプや透かしを入れるなどしてハンドリングする方に注意喚起するなどと同時に、社外秘の情報を開示する相手は本当に必要な人間のみに開示するなどという制限を設けましょう。

特に社員であれば誰でも閲覧できる図書室のような設備も多くあると思いますが、本当にそうする必要がないと思われる場合はあえて公開する必要もありません。それこそリクエストベースに切り替えるなどとして、情報の漏えい経路を減らしていきましょう。

5. 不正アクセスによる攻撃を受けた

セキュリティ意識の低さを棚に上げた、ミスによる情報漏えい事件の隠れ蓑にもよく用いられています。ですが、攻撃を受ける身からすればかなりの脅威となるのが標的型攻撃などに代表される不正アクセス事件でしょう。

二段階認証やパスワード入力制限などによって今までのような総当たり攻撃は全く通用しなくなっていますが、代わりに情報を知る人間に対してのピンポイントのスパムメールなどが目立つようになりました。

他にもSQLインジェクションなどといった技術的な攻撃を含め、ハッカー(クラッカー)達に狙われる大企業などではそのセキュリティ対策に多大なコストをさかねばなりません。それでも未知の脆弱性などを基盤においたゼロデイ攻撃なども存在しており、防御する側はとても不利な状況にあるといえるでしょう。

ならば、水際対策もほどほどにデータの管理に気をつける必要があります。顧客名簿などは頻繁にアクセスされる情報のためあまり厳重に守ることもできないでしょうが、絶対に漏れてはならない資料などはスタンドアローンのネットワークのみで管理する、など外界からのアクセスを物理的に遮断してしまうのも一つの手です。

他にもファイルそのものを暗号化しておき、利用する時には自動的に復元できるような仕組みを構築するなどして”流出しようがない”や”流出しても何の意味もない”などという状況がベストでしょう。

6. 内部者による個人情報の悪用

かなり防ぎにくいタイプですが、内通者です。つまりはその情報を取り扱う人間そのものが情報流出の経路となってしまうことです。

例えばある団体の名簿リスト10万人分は名簿業者に売れば数万円になるからといって意図的にデータを抽出し売りさばいてしまう。例えば自身の所属する企業に対する復讐の意味で流出させてしまったり。大手不倫推奨サイトのアシュリー・マディソンなどがその代表例ではないでしょうか。

こういった状況を防ぐには、機密情報にアクセスできる人間を制限する、誰かがアクセスする際には何らかの監視を行う(例:記憶装置を繋げたら警告など)するなどして防止する他ありません。結局のところ情報管理はその担当を信用ベースで起用しているわけですから、それでも怖い場合は二重、三重と監視する必要があります。 

ところで、よく流出するのは個人情報です。なぜでしょうか。それは、ある組織が”厳重に管理すべき最重要情報”との認識を強く意識していない場合が多いからではないでしょうか。

”人の名前や電話番号が流出したからってそんなに実害はないだろう、それよりも守らなければいけない企業秘密があるんだ”という言葉をあるサービス業の人から聞いたことがあります。論外です。

7. 企業などによりあらかじめデバイスにバックドアが仕掛けられていた

2015年ではレノボ製PCがユーザーの利用状況などを知らせることなく外部に送信していたことが明らかになっています。レノボ側は個人を特定できないような状態であったと主張していますが、マーケティング企業と繋がっていた可能性も示唆されており信用できない部分が残ります。また、不審なスマホアプリなどによる連絡先へのアクセス、漏えいなども一時は頻繁に見受けられました。 

これらの事件から我々が学ぶべき教訓はただ一つ。それは、データ化し、パソコンに保存した時点で”簡単に”外部に送信される状況になっているということ。それはバックドアだったり、ウイルス感染だったり、あるいは知人によるデータの盗難だったりいくらでも流出してしまう可能性が残るわけです。

例えば恋人とのプライベートな写真など。パソコンにそのまま管理してしまっているのであれば今すぐ外部メディアに保存し、それを金庫に突っ込むなどして厳重に保管すべきでしょう。少なくともパソコンに保存したままにしておくのは本当によろしくありません。いつ、どこで誰がどのようにあなたのデータを盗むかなどわかったものではありません。

まとめ

再度、情報の漏えい経路を以下に列挙します:

 1. 迷惑メールなどを通してスパイウェア(ウイルス)に感染した
 2. USBメモリなどの大容量記憶装置を紛失した
 3. 機密を含むメールの宛先を間違った
 4. 機密を含むファイルや書類を紛失した
 5. 不正アクセスによる攻撃を受けた
 6. 内部者による個人情報の悪用
 7. 企業などによりあらかじめデバイスにバックドアが仕掛けられていた

情報は生まれた時点で漏えいの危険性に晒され、ハードからソフトな管理方法に移るたびにその流動性も高まります。情報漏えい事件を防ぐためには過去に起きた事例を知り、どのような対処法が効果的かを知るのももちろん有効です。

しかし、それ以上に流出しては困るような情報をそもそも生み出さない、生み出しても記憶の中のみにとどめる、最悪は手書きの書類にして銀行に預ける、などといった古典的なやり方を選択するべきです。

古い方法というのはそれだけ管理に手間がかかります。しかし、その分その情報を盗むためにも手間がかかります。情報セキュリティにおいて利便性の向上は危険性の上昇と隣り合わせだということを強く意識しながら、管理にあたっていきたいものです。

スポンサーリンク