セキュリティの
学び場

今回の解説ニュース

個人用のクラウドサービスが乗っ取られたことで、業務上のデータまで攻撃者に閲覧されてしまった可能性があるということです。今回は、私物を業務で利用する際のリスクや、その対策について説明します。

今回のインシデントは、個人的な写真や業務上使用する資料の一部を撮影した写真が、攻撃者から閲覧できる状態になっていたことが判明しました。原因として、個人用端末アカウントから行ったインターネットへのアクセスでフィッシング詐欺に遭い、個人で契約していたクラウドサービスのアカウントが乗っ取られたこと、また、個人用端末アカウントで保存していたデータを外部のクラウドサービスへ自動的に保存する設定としていたことが挙げられています。

加えて、個人情報等の取り扱いに関する認識が不十分であったために、個人情報を持ち出す手続きが行われず、個人情報等を含む資料を個人用端末で写真撮影し、保存していたことも原因として挙げられています。

対策として、個人用端末に保存されていた写真データ等の全てについて個人情報の有無や内容を調査し、順次、当該関係者に連絡を行い、経過説明と謝罪を行っています。再発防止策として、事案の共有と注意喚起を行い、個人情報等の管理の徹底とさらなる意識の向上について指導していくということです。

事故の原因「フィッシング詐欺」について改めておさらい

インシデントの詳細は公表されていませんので、あくまでも一般論となりますが、メールや携帯のショートメッセージ、最近ではSNSのDMなども使って、フィッシング詐欺を行うURLをクリックするように誘導します。

URLをクリックして遷移したWebサイトでは、景品が当選したなどといったユーザの興味を引く内容から、ユーザIDやパスワード、クレジットカード情報などの入力が促されるわけですが、当然、フィッシング詐欺ですので、入力された情報はすべて攻撃者の手に渡るわけです。

業務上のデータがどのようにして攻撃者に閲覧されたのか？

個人用のクラウドサービスから、業務上のデータが閲覧された可能性が発生したのは、私物のスマートフォンを業務に利用し、そのデータが個人用のクラウドサービスへバックアップされていたことが考えられます。

スマートフォンで撮影した写真や動画、ダウンロードしたデータなどが、自動でクラウドサービスへバックアップされる機能がオンになっている場合があります。スマートフォンが故障した際も、新しい機種ですぐに元通りの環境を使うことができるのはとても便利な機能です。

一方で、今回のようにスマートフォンに紐づけられた個人用アカウントが乗っ取られてしまった際に、一緒にバックアップされた業務上のデータまでもが漏洩してしまう可能性があります。

個人用アカウントは、仕事用アカウントに比べて、セキュリティ対策が十分ではない可能性があります。私物のスマートフォンを業務に利用する際は、十分に注意してください。