企業における情報漏えい対策-入門編(4/6)
~ 便利なサービスの落とし穴、意図的な犯罪だけではない情報流出の原因 ~

アイキャッチ4回

前回(*)まで、外部の不正アクセスや内部犯行のように、明確な意図を持って行われる情報漏えいとその対策について紹介してきました。しかし、たとえ当事者に「情報を持ち出してやろう」という意図がなくても、情報漏えいが起きることがあります。中でも大きな割合を占めるのが「設定ミス」です。

 

(*)
第1回:入門編(1/6)~話題の「標的型攻撃」以外にもある情報漏えいの経路~
第2回:入門編(2/6)~まずは「標的型攻撃」とその対策を理解しよう~
第3回:入門編(3/6)~覚えていますか? 大手通信教育会社の流出事件 権限を持つ「人」が原因、アカウント管理と監視の徹底を~

 

設定ミスによる情報漏えい(より正確には、そのつもりがないのに情報が「公開」されてしまう状態、という方が適切でしょう)は、古くから発生してきました。インターネットがまだビジネスツールというより趣味の延長線上にあり、「ホームページ」を持っている企業が「先進的」と見なされていた時代から、Webサーバーの設定ミスによって、他のユーザーの個人情報を閲覧できてしまったり、サーバー内に保管された個人情報が誰でも見られる状態になってしまう事故が発生していたのです。

クラウドサービスでも繰り返される設定ミスによる情報流出

さて、この数年、クラウドベースのWebサービスが非常な勢いで普及しました。かつてのように自力でサーバーを用意し、設定する必要はありません。誰もが手軽にWebを介して情報共有やディスカッション、データの交換といった作業を行えるようになったのですが、そこでもまた、設定ミスによる情報漏えいが繰り返されています。

例えば2013年7月には、「Googleグループ」を使って情報交換を行っていた環境庁や復興庁、農林水産省など複数の省庁の内部情報が、誰でも閲覧できる状態になっていたことが明らかになりました。Googleグループではデフォルト設定のままだと、誰もが制限なく閲覧できる「一般公開」となってしまうことに気付かず運用していたことが原因です。

 

Googleグループのデフォルト設定

 

この結果、条約交渉に関する報告をはじめとするセンシティブな情報が意図せず公開される状態となってしまいました。

Webサービスは便利で仕事の効率を上げてくれるものではありますが、この例が示すように、「誰が」「どの情報に」「どんな操作を行えるか」というルールを定め、それに沿ってアクセス権限を適切に管理しないと、思わぬ情報漏えいを招く結果になってしまいます。

また、Webサービスを利用する際のIDやパスワードが盗まれないように管理することも重要です。2014年9月、米国の人気女優やモデルのプライベートな写真が多数流出するという事故が起こりました。これは、被害者のApple IDアカウントが乗っ取られ、アップルが提供するクラウドサービス「iCloud」にアップロードされていた写真が流出してしまったことによるものです。これを防ぐには、パスワードの使い回しを避け、二要素認証などの強固な認証を利用するといった自衛策が効果的です。

設定ミスによる情報漏えいは、Webサービス以外でも起こり得ます。FAXやスキャナーを一台に統合したデジタル複合機を導入し、ネットワーク経由で利用するオフィスが増えていますが、実はこうした機器は、見た目はコピー機でも中身はWebサーバーと同じです。この機器のセキュリティ設定が不適切だと、インターネットから誰でも、受信したFAXやスキャンした文書のデータにアクセスできてしまう恐れがあります。こうした盲点にも注意を払う必要があります。

「タダ」ほど高いものはない?

このような設定ミス以外に、ツールやサービスを提供するベンダーの説明不足によって、情報が外部に送られてしまうケースもあります。

日本語変換ソフト「Baidu IME」を巡って2013年12月に起こった騒動はその一例です。このソフトウェアは、入力した文字の変換を、クライアント側ではなく、開発元のサーバー側で行う「クラウド入力」機能を備えていました。しかもこの機能はデフォルトでオンになっていたため、ユーザーがそれと意識しないうちに、さまざまな入力データ——顧客の名前やパスワードも——が開発元のサーバーに送信されていたのです。

 

日本語変換ソフトの「クラウド入力」機能で・・

 

機能については利用者ガイドラインに記述がありましたが、果たしてその意味するところをユーザーが理解した上でインストールしていたかというと、疑問が残ります。他のソフトウェアにバンドルされていたため、意識せずにインストールされていたケースも指摘されています。

無料で利用できるWebサービスやツールは便利なものですが、その仕組みを理解し、どんな情報が共有されたり、外部に送信される可能性があるか検討した上で、利用の可否を選択すべきでしょう。昔から言われることではありますが、「ただほど高いものはない」のです。

 

もう一つ、やや蛇足になりますが、ソフトウェア開発元が不正アクセスを受け、アップデートファイルが何者かによって差し替えられてしまう事件も発生しています。この結果、ユーザーは正規のアップデートをインストールしたつもりなのにマルウェアに感染し、そこから情報が流出してしまいました。こうした経路による感染を一ユーザーが予防することは非常に難しいことです。監視によって怪しい動きを見つけ出すことが重要でしょう。

また、自社が何らかのサービスやソフトウェアを提供している場合は、万が一にもこうした事態が生じないよう、多層的な防御を高じることが重要です。同時に、提供するサービスやツールがユーザーからどんなデータを受け取り、取り扱っているかを分かりやすく知らせ、必要に応じて設定を変更できる仕組みを整えておくことが、利用者の信頼を得る上で欠かせないことになるでしょう。

次回では、「紛失・盗難」についてお話します。

 

編集:ビジネスon IT運営事務局(セキュリティ班)

メールマガジンを購読する

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン