セキュリティの
学び場

今回の解説ニュース

LINEのトークルームに見知らぬ第三者が参加したことで、過去のトーク履歴から個人に関する情報が漏洩してしまったということです。LINEやその他コミュニケーションツールを業務で利用する際に気を付けるべきポイントについて説明します。

今回のインシデントは、業務上の情報交換の為に使用していたLINEのトークルームに、何者かが参加したことにより、過去180日分のトーク履歴から、37人分の氏名や出欠席にかかる情報や健康観察情報が流出した可能性があるということです。インシデントの原因として、当該トークルームはLINEのオープンチャット機能を利用しており、第三者の参加が誰でも可能な状態であったと発表されています。対策として、当該参加者を退出させるとともに同トークルームを削除しています。

また、再発防止策として、改めて個人情報や情報セキュリティの適正な管理の徹底を指示したということです。

「オープンチャット機能」のメリット・デメリット

幅広いコミュニケーションができるオープンチャットのメリットは、一定の匿名性を維持できることで、デメリットはその匿名性の裏返しにあります。セキュリティの観点から、その内容について説明します。

まず、オープンチャットのトークルームごとにプロフィールを設定することができます。何らかの理由で身分を隠したい場合に、個別に名前やプロフィール画像を設定することで、参加者に対しては匿名でコミュニケーションを取ることが可能です。もちろん、コミュニケーションツールの運営元に登録情報を隠すことはできませんので、完全に匿名であると勘違いして不正行為に及ばないようにしましょう。

デメリットとしては、機微な情報のやり取りには不向きであるということです。コミュニケーションツールの延長線上で使ってしまうと、知っている人だけが参加していると勘違いして、誤って他人のプライバシーを侵害してしまう可能性があります。また、先ほどの匿名性ともかかわりますが、誰が参加しているかわからないという点も、セキュリティの観点では注意が必要です。参加しているメンバーから様々な勧誘があっても、善意ある人からのメッセージであるとは限らないことに気を付けましょう。

コミュニケーションツールの業務利用時におけるセキュリティリスクとは？

LINEやFacebookなど、個人アカウントのコミュニケーションツールを業務で利用する場合は、アカウントの乗っ取りが発生した場合のリスクについて、あらかじめ認識しておく必要があります。

やり取りをする情報は「誰に見られても問題のないレベル」に留める

結論として、コミュニケーションツールでやり取りしている情報は、誰に見られても問題のないレベルに制限するべきです。具体的には、企業アカウントより個人アカウントの方が攻撃者に乗っ取られる可能性が高いということです。理由は、コミュニケーションツールの認証や設定がすべて個人任せになるからです。仮に自分のアカウントは十分にセキュリティ対策ができていたとしても、相手のアカウントが乗っ取られてしまえば、やり取りしていたトーク履歴から情報漏洩するリスクがあることを認識する必要があります。

パターンの簡略化は認証を突破されるリスクが

また、アカウントに関して、どのようなパターンがあるか触れられていました。その中で、どうしても気になったのが「IDを学年や組・番号とするもの」という点です。学年や組・番号など、推測できるIDは認証の強度を下げることになります。理由は、もう1つの要素であるパスワードがわかれば、認証を突破されてしまうからです。

情報セキュリティ規定などで禁止されていないか確認を

このようなリスクがあることを把握した上で、個人アカウントのコミュニケーションツールを業務で使う場合は、事前に会社の情報セキュリティ規定などで禁止されていないか確認することが必要です。規定にない場合は、情報セキュリティ管理者や上司に相談するなどして、万が一インシデントが発生してしまった場合にも、個人の責任にならないように気を付けましょう。

リモートワークでコミュニケーションツールの利活用も進むことが考えられますが、エレベータで業務上の会話が禁止されていたように、今使っているシステムがかつてのパブリックスペースなのかプライベートスペースなのか、十分理解した上で円滑なコミュニケーションを図っていきたいですね。