こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
川崎設備工業株式会社は3月31日、名刺管理システムへの不正アクセスによる情報漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】名刺管理システムが不正アクセスを受け、名刺情報が漏えいしてしまったということです。個人情報を取り扱うシステムに求められるセキュリティ対策や、技術的ではないサイバー攻撃について説明します。
今回のインシデントでは、不正なIPアドレスから同社社員のIDでアクセスされ、名刺管理システムに登録されていた名刺情報が漏えいしてしまいました。原因として、名刺管理システムの運営会社を名乗る担当者から電話とメールで連絡がありIDとパスワードを詐取されたことが挙げられています。
対策として、名刺管理システムの当該社員のIDの停止、名刺管理システムに登録されている全IDのパスワードの初期化、全社員への注意喚起を行うとともに、個人情報保護委員会に報告しています。再発防止策として、データへのアクセスの二段階認証方式によるセキュリティ強化、個人情報保護の重要性と情報セキュリティ及び個人情報保護規程に関する社員教育の徹底を行うということです。
個人情報を取り扱うシステムで求められるセキュリティ対策として、不正アクセスを受けてもデータが再利用されないための対策が必要です。具体的には、データの匿名加工やDLPが挙げられます。
例えば、皆さんもスマートフォンで電話帳の機能を使っているのではないでしょうか。電話を受ける目的の範囲内においては、必ずしも名前を正しく完全な状態で登録する必要はないかもしれません。
個人情報を取り扱うシステムの場合、すべての人が完全な個人データを見られる必要がない場合があります。具体的には、システムの画面から見られる個人データは一部に匿名加工が施されながら、メールなどで個人データを利用する際はシステムを通じて処理されることが考えられます。
また、データ自体を監視する仕組みとして、DLPが挙げられます。DLPとはData Loss Preventionの略で、データを監視して保護する機能です。一般的なセキュリティ対策が主にユーザの挙動を監視するのに対して、DLPはデータを監視することで、機密情報と判断されたデータに対して、想定しない漏えいから保護することができます。
例えば、Aさん自身を監視していても、Aさんがアクセスを許可された機密情報を持ち出すことは、ユーザの挙動に対する観点からは正しいアクセスと判断されます。しかし、DLPでデータ自身を監視していれば、Aさんが仮にアクセスを許可されたデータであったとしても、機密情報の持ち出しとみなされますので、不正なアクセスと判断することができます。
電話をする際に、セキュリティの観点で気を付けるべきポイントは、相手がなりすましを行っていないか確認することが必要です。なりすましが行われていないことを確認できない場合は、機密情報のやり取りを控えることが求められます。
オレオレ詐欺については、皆さんもよくご存じではないでしょうか。相手が親族になりすまして、主に高齢者から金銭を窃取することを目的とした詐欺です。今回のインシデントでも、目的は違えど同様の手口であると言うことができるのですが、セキュリティでは、このような攻撃手法をソーシャルハッキングと言います。
ソーシャルハッキングとは、技術的な手段を使わず相手からアカウント情報や機密情報を聞き出す攻撃手法です。電話で内部の関係者に成りすましたり、パソコンへ入力している情報を背後から盗み見るなどして、相手の心理や行動のミスに付け込むことで、機密情報を窃取します。
今回は、個人情報を取り扱うシステムに求められるセキュリティ対策や、技術的ではないサイバー攻撃についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
