セキュリティの
学び場

今回の解説ニュース

SMSを使ったフィッシング詐欺により、個人情報が漏えいしてしまった可能性があるということです。今回は、スマートフォンを利用する際にフィッシング詐欺の観点で気を付けるべきポイントについて説明します。

今回のインシデントでは、スマートフォンに登録されていた302件の氏名、電話番号、メールアドレスに加え一部住所、会社名を含む個人情報が漏えいしてしまった可能性があるということです。

原因として、会社貸与スマートフォンに宅配業者を装ったSMSが届き、アカウント、パスワードを入力したところ、第三者による不正アクセスが行われたことが挙げられています。

今回の件を受け、対象者へ個別に謝罪と説明を行っています。また、個人情報保護委員会に報告し、警察に相談のうえで同社セキュリティ部門が引き続き状況を精査しています。また今後の対策としては、アカウントの適切な管理や個人情報の取扱いについて指導を徹底するとともに、セキュリティ対策の継続的な強化に努めるということです。

詐欺を100%見抜く事は難しい、当人の判断に依存しないことでリスク軽減を

SMSから送られてくる不在通知への対策としては、心当たりのないSMSに書かれているリンク先で、IDやパスワードを含む個人情報を一切入力しないことです。本物の不在通知か心配であれば、受信したメッセージに返信する方法「以外」で、本物かどうか確認するようにしましょう。

確実にフィッシング詐欺を見抜くことができればよいのですが、セキュリティのプロでも100%識別することは難しいかもしれません。一般の方であってもフィッシング詐欺に引っかからないためには、当人の判断に依存しないことが求められます。

また、今回のような会社貸与のPCやスマートフォンなどへの対策としては、用途に合わせて、物理的もしくは論理的に分割することが有効です。

私、松野を例に挙げますと、私は会社の通話をするためと、それ以外の用途に携帯電話を使い分けています。会社の電話をする携帯電話には一切のアプリを入れておらず、メールを受信することも、Webサイトを見ることもありません。先ほどの話で言うと、フィッシング詐欺に対して一切の判断が必要のない対策をしています。

一方で、それ以外の用途で使っている携帯電話では、個人と会社でプロファイルを分けており、論理的に分割している状態です。プロファイルの分割についての説明は割愛しますが、その上で、通話は別の携帯電話で行うため、電話帳の機能は一切使っていません。よって、個人情報を保存していない携帯電話となりますので、メールやWebサイトを経由した不正アクセスの被害にあっても、被害は最小限で済むのではないかと考えられます。

個人情報を預かる側か、預ける側かにもよりますが、個人情報を漏洩してしまった際に、個人の権利利益を害するおそれがある場合は、速やかに個人情報保護委員会へ報告することが義務化されています。また、個人情報保護委員会は相談窓口や公益通報の受付をしていますので、個人情報で不安に思われた際は、一度相談してみても良いかもしれません。