情報セキュリティ(現場編)その4

 今回は、インターネットやパソコンを使わない不正行為についてお話します。前回までは、ファイル共有ソフトやインターネットから来るウィルスの話でした。当然、それらはパソコン上での話であり、パソコン内やネットワークのセキュリティで防げるものです。しかし、これからお話しすることはそれではカバーできません。

 ソーシャルエンジニアリングという言葉をご存知でしょうか。これは、直訳すると「社会工学」ですが、実際の意味は、ネットワーク管理者や利用者のシステム情報(主にパスワード)を話術(主に電話)や覗き見によって入手する手法です。人間の持つ心理的な隙を突いて情報を入手するのです。「オレオレ詐欺」もソーシャルエンジニアリングのひとつといってよいでしょう。

 

「会社にオレオレなんか掛かってこないよ」と思われるかもしれませんが、「ちょっとパスワード忘れたんだけど教えてくれない」、「IDって何だっ け」などと電話で言ってきたとき、相手をきちんと確認して教えているでしょうか。声が似ていれば気づかず見知らぬ人に教えているかもしれません。実際に社 員に「なりすまし」情報を聞き出されて被害にあっている企業はいくつもあるようです。「うちの会社は小さいから関係ない」というわけではなく、踏み台にさ れるのはそのような小さな会社です。犯罪者は小さな会社を踏み台(隠れ蓑)にして大きな会社を狙うものです。

 また、「なりすまし」以外にも次のような手口があります。

・スキャベジング
 ごみあさりで企業情報を盗み出します。IDやパスワードの入った紙をシュレッダーにかけずにそのまま捨てたりすると危ない。
 
・ショルダーハッキング
 肩越しに覗き見して、情報を盗み出す手法。キーボード入力を見てパスワードを覚えたり、デスクトップに張ってあるメモや付箋から情報を盗み出します。立ち上げっぱなしのパソコンでスクリーンセーバー等が起動していなければ、格好のターゲットになるでしょう。

・ピギーバック
 あたかも関係者のような顔をして現場や会社に出入りする業者についてきて、会社に侵入します。(ピギーバックとは「おんぶ」という意味。)上記のスキャベジングやショルダーハッキングを行う前作業として行われます。

どれもパソコンを使わないものでありながら、システムに侵入するための情報を入手することが出来るのです。

 対策方法としては、
 
・不用意に人が入らないようにする。
 小さくてもカウンターを設け、ずかずか入りこめない雰囲気にしましょう。土足厳禁でスリッパにするだけでも、心理的効果はありそうです。また、全員が不在になる場合は鍵をかけるのが理想です。(現実は出入りが多いので難しいかもしれませんが・・・)

・スクリーンセーバーを使う。
 画面焼付け防止だけでなく、覗き見防止にもなります。パスワード付にすると、長時間不在でも中身をのぞくのが困難になるのでより効果的です。

・電話での身元確認をしっかりする。
 パスワード等の重要情報は、電話等で聞き出せないようにすることが大切です。効果的なのは、電話を受けた後、一度切ってから再度いる場所に電話することです。犯罪者は、公衆電話や盗難した携帯電話等からかけてくる場合が多いので、このかけなおしはそれなりの効果があります。携帯電話も、会社で認知しているもの以外にはかけないようなルールを徹底しましょう。

・重要情報はシュレッダーで処分
 紙からの情報というのは意外と盲点です。まさか、こんなものから情報をひろうのかと思うようなところから情報を拾っていきます。システム・お金に関することや個人情報が掲載されたもの、契約書類などは、必ずシュレッダーにかけるようにしましょう。また、使い古しのCD?Rなども、曲げたり切断するなどして利用できないようにすることをお勧めします。

上記の4つが主なものです。

「昔に比べて世知辛い世の中になったなぁ」と嘆かれる方もいらっしゃるでしょうが、パソコンやインターネットの普及が世の中を変えたのです。時代はとまりません。被害にあう前に対策をとりましょう。