【身近に潜む情報漏洩リスク】パソコンやスマホからの情報漏洩を防止するために

パソコンやスマホからの情報漏洩を防止する
1. ３大脅威
エモテットウイルス
1. エモテットウイルス感染を防ぐ対策
  1. ①メール受信時
不正ログイン
1. 不正ログインの身近な例
2. 不正ログインを防ぐ対策
インターネットに接続されているサーバーへの不正アクセス
1. 不正アクセスの身近な例
2. 不正アクセスを防ぐ対策
廃棄情報機器からの情報漏洩
1. 廃棄情報機器からの情報漏洩の例
2. 廃棄情報機器からの情報漏洩を防ぐ対策
まとめ

パソコンやスマホからの情報漏洩を防止する

　仕事でもプライベートでも、パソコンやスマホが必要不可欠であることは、ほとんどの人が賛成されると思います。

　この記事では、３０代リーマンである筆者の、身近なところに潜む情報漏洩の危機についてまとめました。

身近なところに潜む情報漏洩の例

ＳＮＳへの写真投稿
飲み会後に、会社貸与のパソコンやタブレットの紛失
守秘義務のある資料の置き忘れ
メールの誤送信(多いのは「宛先間違い」と「添付ファイルの間違い」)
ウイルス感染させたり、企業のサーバーに侵入することを目的とするメール「標的型攻撃メール」への感染

３大脅威

　情報漏洩のきっかけは様々ですが、主に次の３つの理由による情報漏洩が多いそうです。

メール誤送信
コンピュータウイルス感染
情報機器の盗難・紛失

これらをきっかけに、エモテットウイルスへの感染や、不正ログイン、不正アクセスによりパソコンやスマホからデータが抜き取られてしまったり、乗っ取られてしまうことで情報が漏洩します。

エモテットウイルス

　エモテットウイルスは、感染したパソコンやスマホなどの機器から情報を盗み出し、乗っ取り、その機器を新たな攻撃に使用するウイルスです。

　エモテットウイルスに感染させるためには「マクロ」と呼ばれるプログラムを実行させることが必要とされています。その「マクロ」を実行させるための手口の代表的な例をご紹介します。

エモテットウイルスの手口：正規のメールへの返信を装う

Step1：メールを信用させる

　受信者（あなた）へのメールの送信者が、取引先や家族などを装っていることでメールを信用させます。最近では、新型コロナウイルス関連のメールを送信し、公的機関を装うことで信用させる手口が流行しています。

Step2：パソコンをエモテットに感染させる。

パソコンをエモテットに感染させるためには「マクロ」を実行させる必要があります。その「マクロ」を実行させるためには、メールを信用させ、以下に示すような手口が使われます。

添付ファイルを開いてしまう

受信者はメールを信用しているため、「添付ファイル（ワードやエクセル）」を開いてしまいます。その結果「マクロ」を実行してしまいます。

ＵＲＬリンクによる感染<?/6> メール本文に記載されたＵＲＬにアクセスすることで「マクロ」を実行してしまいます。

Step3：エモテットが情報を盗み出す。パソコンを乗っ取り、新たな攻撃に使用する

　エモテットに感染させた後は、盗んだ情報を使って、連鎖的に感染させる危険性が高くなります。家庭内や職場内など、同じネットワークでつながっているパソコンやスマホを乗っ取り、新たな攻撃に使用することで、被害が拡大する恐れがあります。

エモテットウイルス感染を防ぐ対策

　エモテットウイルス感染を防ぐためには不審なメールによる「マクロ」を実行しないということが重要です。

①メール受信時

送信者の指名表示とメールアドレスが合っているか
本文に不自然な点がないか
添付ファイルの種類
Officeファイルを開いた時、「コンテンツの有効化」を実行しない＝マクロを実行させない

不正ログイン

　不正ログインでは、ネットバンキング利用時の本人認証方式の弱点を利用しすることで、情報漏洩や勝手にお金が引き出されるといった被害が生じます。ログイン情報（ＩＤ、パスワード）を盗まれることにより不正ログインされてしまいます。

不正ログインの身近な例

社内サーバーに侵入され、情報を窃取された
ネットショップで勝手に買い物された
ＳＮＳのアカウントを乗っ取られた

不正ログインを防ぐ対策

パスワードを「長く」「複雑な」ものにする
パスワードを「使いまわさない」

インターネットに接続されているサーバーへの不正アクセス

　不正アクセスの手口は、近年のＩＴ技術の進歩により「高度化」「自動化」「２４時間」をキーワードとし、危険性がより高まっています。

不正アクセスの身近な例

不正アクセスによる情報漏洩

　サーバーメンテナンスをＩＴ業者に委託していたが、その業者がアクセス権限の設定を誤ってしまい、第３者に不正侵入され、プロジェクト情報を盗まれた。
→お客様に多大なるご迷惑をおかけした。

・システム管理者が社内で利用していたシステムのサーバーの設定を誤って変更、一時的に社外から利用できる状態になり、その隙にサーバーにランサムウェアを仕掛けられしまった。
→社内のデータを暗号化され、業務が止まってしまった。

不正アクセスを防ぐ対策

設定変更や操作手順等を定める（設定ミス防止）
不要なデータを定期的に削除する

　不正アクセスを防ぐ対策では、ヒューマンエラーを無くすことが重要です。

廃棄情報機器からの情報漏洩

　地方自治体で、情報機器を廃棄依頼した廃棄業者が盗難にあい、住民の情報を漏洩したというニュースがあったことは記憶に新しいと思います。

廃棄情報機器からの情報漏洩の例

専門業者が廃棄予定のサーバーを移送しようとしたころ、盗難にあった

廃棄情報機器からの情報漏洩を防ぐ対策

委託する前に不要な情報を削除する
重要なデータは暗号化する
→データが暗号化されているため、安全である
委託業者の選定・契約・監査をか確実に行う
→機密保持、安全管理体制を確認する

まとめ

　情報漏洩を起こしてしまったら、悩まず、誰か（専門家や担当者）にすぐ相談することが、更なる被害拡大を防止します。

　新型コロナウイルスの感染拡大防止対策も同様、隠さずにすぐに情報共有することが大切であると感じました。

Post Views: 56