コラム

 公開日: 2016-01-15  最終更新日: 2016-02-16

情報漏えいは身近なところで起きているかもしれません-ソーシャルエンジニアリングによる情報流出

年明け早々、某女性タレントとミュージシャンのスキャンダルが世間を騒がせております。その報道の中でインパクトを与えたのが、スクリーンショットで公開されたLINEのやり取りでしょう。このスクリーンショットは、記事上ではミュージシャン側の関係者、となっておりました。信ぴょう性はともかく、身近な人が隙を見てスクリーンショットを撮って自分の手元に送る、クローンのiPhoneを作成されていた、といった方法で流出したと考えられます。
この記事の内容はともかく、この騒動で考えさせられるのは、個人情報等の重要な情報が、自分の身近な人の手によって流出してしまう可能性を示唆しています。情報漏えいと聞くと、いわゆるハッカーと呼ばれる人たちが高度な技術でセキュリティを破っていくことを想像される場合が多いのですが、昨今の情報漏えい事件で見る通り、内部の関係者による情報流出というケースが多いというのが実態です。

ソーシャルエンジニアリングによる情報流出-ハッキングとは異なる手法

以前のコラムでも説明しましたが、こうした情報流出で適用される手法がソーシャルエンジニアリングです。
ソーシャルエンジニアリングとは、システムの脆弱性に対するハッキングとは異なり、「人間」の心理的な脆弱性に対して行われる攻撃手法です。ソーシャルエンジニアリングによる情報取得としては以下の様な手法があります。

・個人の情報(誕生日、電話番号、等)からパスワードを類推する
・パスワードを打鍵しているところを後ろからのぞき見する
・会話の中でパスワードや重要情報を聞き出す、または書かせる
・役職者や公的機関の職員になりすまして、電話等で必要な情報を聞き出す
・PCやスマートフォンのロックが解けた状態で本人が中座した隙に画面の内容を盗み見る
...

このソーシャルエンジニアリングの怖いところは、特別な訓練をされていない一般の人々でも、容易に実行できるところにあります。よく、「恋人(または配偶者)にスマートフォンを見られて浮気がバレた」という話を聞きますが、その恋人や配偶者に高いスキルがあってスマートフォンのロックを解除されたという訳ではなく、パスワードを推測された、隙を見て盗み見られた、と考える方が正しいでしょう。

ビジネスの世界でもソーシャルエンジニアリングは行われている?

このように個人的な関係性での内容であれば笑い話で済まされるかもしれませんが、これがビジネスの世界でも行われていたりすると、ただ事ではなくなってきます。最近は部門やプロジェクトでLINEのグループを作って連絡を取り合うケースも増えています。取引先の会議中にPCやスマートフォンを放置して中座したりしていないでしょうか。
また、偶発的な事象によって、意図していなくても、重要情報が関係の無い人に見られてしまう、といったこともあります。

・プレゼン中に、メール着信のメッセージが表示されてしまう
・スマホに着信があった時、送り手の会社名や氏名が表示されてしまう
・取引先との会議中にかかってきた競合会社からの電話に対して思わず、相手の会社名を言ってしまう
・テレビ会議の背景に、相手には見せてはいけない情報が映り込んでしまう
・Copy&Pasteして不適切な情報を加工しないままメールを送ってしまう
・・・

見えてしまった相手にとって関係がなければ、紳士的に見なかったふりをしてもらえるかもしれませんが、何らかの利害関係がありそうだったり、相手を困らせてやろうと思われたりした場合、その情報がどこに流れるかわかりません。場合によっては、取引等に影響が出る可能性があります。

ソーシャルエンジニアリングの対策

こうしたソーシャルエンジニアリングの手法への対策ですが、人間の心理状態に働きかけるものなので、基本的には注意深く行動することであり、具体的な行動としては、散々言われていることばかりです。
・パスワードは分かりにくい内容にする(参考:「脆弱なパスワード」)
・他者に画面を見せる場合、メール通知機能はOFFにする(不都合が無ければ、常時OFF)
・メール等の誤送信が無いよう、宛先は再確認する
・テレビ会議は独立した会議室で行う
・PCやスマートフォンにパスワードロックをかける
・中座する場合はどんなに短時間でも画面をロックする

最近はカフェ等の公共の場で仕事をする方も増えておりますが、PCを開けたまま注文やトイレに行く人をよく見かけます。しかも、放置されたPCのカバーにはご丁寧に資産管理用のシールが貼ってあり、どこの会社のものかわかってしまいます。その度に「大丈夫か?」と思ってしまいます。このようなご時世ですから、少し注意深く行動してリスク低減を図ることを考えてみては如何でしょうか。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ
個人情報保護法改正のポイント

2015年夏に10年ぶりに改正された個人情報保護法が2017年5月30日に施行されることが決定しました。これまでは、個人情報の取扱件数が5,000件以下の事業者は個人情報...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
事業者が取り扱う「個人情報」とは?-改正個人情報保護法施行前の確認

2015年夏に改正された個人情報保護法が今年(2017年)の5月30日に施行されることが正式に決定しました。現行法では...

[ 個人情報保護 ]

ネット通販の詐欺サイトによる被害に遭わないために

ネット通販における詐欺の被害が続いています。こうした詐欺サイトで商品購入手続きを行うと、代金を振り込んでも...

[ リスク管理 ]

「情報セキュリティ10大脅威2017」について
イメージ

先日、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威2017」が発表されました。このレポート...

[ セキュリティ ]

IoT機器としての情報家電等のリスク-年末商戦に関連して

 インターネットに接続する家庭用製品にはセキュリティが必要 今年も残すところあと僅かとなりました。この時...

[ セキュリティ ]

パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ