情報セキュリティ事故の実際

実際に発生しやすい情報セキュリティ事故とはどういったものでしょうか。

情報セキュリティを検討する前に一般的な企業において発生しやすいセキュリティ事故を基本に考えてみましょう。

攻撃する人の動機

情報セキュリティ事故が発生する場合、攻撃する人にとってはいろいろな目的があります。

  • 情報を盗み出して、競合他社等に販売する
  • 情報を盗み出し、その情報を元に有利にビジネスを進める
  • ホームページなどを改ざんし、社会的信頼性を失墜させる
  • サーバやパソコンなどを乗っ取り、さらに他の企業を攻撃する時の材料にする
  • クレジットカード等の決済手段情報の盗難による金銭を得る
  • 怨恨や逆恨みなどによる情報の破壊
  • 愉快犯や自己顕示欲を満たすための攻撃(ホームページの改ざんなど)

色々な目的や動機がありますが、いずれも「情報を盗む」「コンピュータに侵入する」ことで、目的を達成します。

攻撃者が情報を盗む手段

攻撃する人は多種多様な手段を用いて、情報を盗むための方法を考えます。
一番多い被害が「アカウント情報」と呼ばれる、サービスやパソコンを利用するのに必要なログイン情報(ID)やパスワードの盗難です。

アカウント情報を盗むための手段はどのようなものがあるでしょうか。

  • ウィルスやトロイの木馬によるアカウント情報の盗難
  • 推測しやすいパスワードやよく使われるパスワードによるアカウント情報の盗難
  • 脆弱なシステムやサービスによるアカウント情報の流出

大多数の攻撃は上記4種類のいずれかの方法を用います。
それぞれの攻撃を防ぐ手段としては、

  1. ウィルス対策ソフトの導入
  2. パスワードを推測されにくい複雑なパスワードにする
  3. サービスによってパスワードを変える

が主なものとなります。

ソーシャルエンジニアリング

先ほど挙げた方法以外にも、アカウント情報を盗む方法があります。

例えば「御社のサーバを管理を委託されている***という会社の〇〇〇というものですが、総務のご担当者様から依頼を受けて、サービスをチェックする必要がありますので、Office365のアカウントとIDを教えていただけないでしょうか」という電話がかかってきたらどうでしょうか。

「もしかしたら誰かが依頼したかもしれない」と思って電話で相手に伝えてしまうかもしれません。

「消防署の方から来ました。消火器の点検で…」といって高い消火器を売りつけられる詐欺を耳にしたことはないでしょうか。それと手口はよく似ています。

被害者に知識に自信がないことを利用し、委託を受けた専門業者を装い、情報を盗もうとする手法で、成功率がかなり高く被害が起きやすいです。
実際に連絡があった場合、相手に情報を伝える前に「依頼した事実はあるのか」「話しているのが依頼した相手なのか」を十分に確認した上で、対応するようにしてください。

また、カフェや電車内などの公共の場でパソコンを見ている場合、のぞき見(ショルダーハッキング)によって重要な情報が盗まれる可能性もあります。

他にもパスワードやアカウント情報などの書類をそのままゴミとして捨ててしまい、ゴミから重要情報が漏れてしまうこともあります。

こういったパソコンを使わない攻撃手法もあり、ソーシャルエンジニアリングと呼ばれています。

コンピュータへの侵入

コンピュータへの侵入はウィルスによって行うもの、管理者のアカウント情報を利用するもの、OSやソフトウェアの脆弱性を利用して侵入するものがあります。

基本的には攻撃者が情報を盗む手段への対策とほぼ同じになりますが、大事なのはセキュリティアップデートです。

WindowsなどのOSや、ソフトウェアにはセキュリティアップデートというものがあります。適用するのに時間がかかったり、アップデート中は業務ができなくなってしまうために億劫になって実施しないということになりがちですが、情報セキュリティが正しく対策できていないと、計り知れないほどの損害を生む可能性があります。

アップデートは定期的に、必ず実施するようにしましょう。