2016/05/17
情報漏えい新人IT担当者の必須知識

【新人向け実践情報セキュリティ講座】不正侵入にはリアルもネットもある

以前は自店のPRで、マンションの郵便受けなどにDM(ダイレクトメール)やチラシが勝手に配布されたりしていました。

しかし、最近ではオートロックシステムが普及して、簡単には入れなくなっています。

オフィスでもICカード型の社員証がなければ入れないビルが増えています。駅の改札のように社員証を一人ずつ通さないと入居できないビルもあります。

いろいろなオフィスが入居している雑居ビルでは、読取機にICカードを「ピッ」とあてるタイプが多く、閉まるまでには時間があります。

その場合、どこかの社員の後ろにはりついていけば社員カードなしに入れてしまうでしょう。

ショルダハッキングに注意!

悪意のある侵入者にとっては、出勤時で皆がバタバタしている時やランチから皆が帰ってくる時などの時間帯こそが狙い目です。

ビルの中に入ってしまえばしめたもの。退出のチェックはしないので盗聴機を仕掛け、機密情報を盗むことができます。

コストはかかりますが、入退出のラッシュ時には守衛を置いて監視するなど対策が必要です。

暗証番号を入力してビルに入るタイプでは「ショルダハッキング」に気をつけましょう。

ショルダハッキングとは肩越しにパスワードなどを盗み見ることをいいます。侵入者が暗証番号を覚えてしまえば、そのビルは“フリーパス”になってしまいます。

不正侵入はリアルだけでなくネットにもある

「バックドア」という言葉をご存じでしょうか。「裏口」という意味で、利用者が気づかないうちソフトの一部に侵入口を作り、そこから侵入することをいいます。バックドアを通じて、PCやサーバーを外部から操作することができます。

よく行われるのがユーザー心理につけこんだ方法です。

以前、報道で騒がれたのがスマートフォン(スマホ)の「電池長持ちアプリ」です。スマホは便利ですが、悩みはバッテリーの減りが速いこと。「電池が長持ちするならありがたい」とダウンロードしても、そんなうまい話はなく、電池が減るスピードは変わりません。反対に、インストールするとスマホ内の連絡先を丸ごと外部にデータ送信されてしまいます。

大手企業が提供するアプリマーケットにもバックドアを設置するウイルス付きのアプリが紛れ込んでいます。アプリに対するレビュー、公開期間などから総合的に信用できるか判断してインストールするようにしましょう。

アメリカではUSB経由で電池充電できるキットを販売していました。キットを使うにはドライバー(ハードを動かすためのソフト)をインストールしなければならず、このドライバーにウイルスが付いていました。これではUSBに接続しただけでウイルス感染します。誰かにもらったUSBメモリーなどにはくれぐれも注意してください。

バックドアが最初から仕掛けられているケースもある

バックドアが仕掛けられた状態で製品が売られている場合もあります。iPhoneのメール情報にアクセスしようとする時にパスワードが求められますが、パスワードを何回か失敗するとロックされて中身が消えてしまうことがあります。

FBIが銃乱射事件の犯人が所持していたiPhoneの情報にアクセスするためアップルにiPhoneをロック解除するよう協力要請しましたが、アップル社は拒否しました。

ここでのFBIの意図は「パスワード入力などを迂回できるバックドアをiPhoneに設けろ」ということなのです。

アップル社は拒否しましたが、捜査協力に応じているメーカーがあるかもしれません。実際、アメリカでは第三国へ輸出するルーターなどにバックドアを仕掛けているようです。

内部告発サイト「ウィキリークス」でアメリカの国家安全保障局が少なくとも2006年頃から日本政府や日本企業を対象に盗聴していたとしています。同盟国でさえ、この状況なのですから、他国でもやっているでしょう。

デフォルトパスワードのまま放置してネットワーク接続されている複合機などはたくさんあります。パスワードをデフォルトのまま放置しないユーザーの意識向上が課題となっているのです。


【教訓】 うまい話にはウラがある。従業員教育をしっかりと
水谷 哲也(みずたに・てつや)

1960年、三重県・津市生まれ。京都産業大学理学部卒。ITベンダーでシステムエンジニア、プロジェクトマネージャーを担当。その後、専門学校、大学で情報処理教育に従事。2002年に水谷IT支援事務所を設立し、所長に就任。三重県産業支援センター、大阪府よろず支援拠点、ひょうご産業活性化センターなどで経営、IT、創業を中心に累計4100件以上の経営相談を行う。

著書に「インターネット情報収集術」(秀和システム)、電子書籍「誰も教えてくれなかった中小企業のメール活用術」(インプレスR&D現在、All About 企業のIT活用」担当ガイドとして、IT活用にまつわる様々なガイド記事を発信中。中小企業診断士、ITコーディネータ・インストラクター、アプリケーション・エンジニア、販売士1級&登録講師。


所属:水谷IT支援事務所
コメント欄を読み込み中

同じカテゴリの記事

2017/06/16
セキュリティ

1万ダウンロード突破のセキュリティ本「セキュリティ 7つの習慣」をMOTEXが作った意義

1万ダウンロード突破のセキュリティ本「セキュリティ 7つの習慣」をMOTEXが作った意義
IT資産管理・情報漏えい対策ツールを手がけるエムオーテックス(MOTEX)が制作したセキュリティ読本が人気を集めている。セキュリティについて7つの要点でまとめられた本は分かりやすい文とイラスト、無料PDF配布もあって、提供3か月で1万ダウンロードを突破した。なぜ、MOTEXは無料セキュリティ読本を作ったのか。その理由を聞いた。
2017/06/08
セキュリティ

【新人向け実戦情報セキュリティ講座】ダークウェブをご存じですか?

【新人向け実戦情報セキュリティ講座】ダークウェブをご存じですか?
SF映画の「スターウォーズ」といえばフォースのライトサイド(光明面)を使うジュダイの騎士とダークサイド(暗黒面)に魅入られたシスの暗黒卿との戦いです。フォースにライトサイドとダークサイドがあるようにインターネットにも光と闇があります。今月はその闇の部分「ダークウェブ」についての話です。
2017/05/18
セキュリティ

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表
セキュリティベンダーのファイア・アイは、年次で発行しているセキュリティレポート「M-Trends 2017」を発表した。レポートは日本を含むアジア太平洋、欧州、中東、アフリカ地域のサイバー攻撃について調査した統計情報。同社では攻撃グループの高度化が進んでおり、特に金融系を攻撃するグループではその傾向が顕著としている。