シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏洩は、企業に致命的なダメージをもたらすことは、情シスの皆さんには言わずもがなでしょう。
今回はシリーズの第3回、インターネットサービスの利用に伴う情報漏洩パターンと従業員が行うべき対策をis702の記事より紹介します。

 

情報漏洩はどうやって起こる?

テレワークが普及し、Webメールやビジネスチャット、クラウドストレージ、Microsoft 365(旧Office 365)などを使い、業務を行っている人が多いのではないでしょうか。そのような際にも、情報漏洩リスクについて考えておかなければなりません。
外部からの不正アクセスなどによりネット上に保管された業務情報が流出してしまう事案もたびたびメディアで報じられています。
AWSやAzure、GCPなどのデータセンターがサイバー攻撃の被害に遭わないとは限りませんが、一般的な企業のセキュリティに比べれば遙かに厳重な対策が施されているため、多くの場合は利用者側に問題があります。

まずはインターネットサービスの利用に伴う主な情報漏洩パターンを見ていくことにしましょう。

【パターン1】アカウントへの不正ログイン

サイバー犯罪者は不正に入手したアカウント情報(IDとパスワード)を使って被害者のアカウントに不正ログインし、情報を盗み出します。
一体、彼らはどのような方法でアカウント情報を入手するのでしょうか。ダークウェブでの売買などもあるようですが、代表的な手口がフィッシング詐欺です。
これは、ネット利用者を正規サービスのログインページなどを装った偽サイト(フィッシングサイト)におびき寄せ、そこで入力されたアカウント情報などを盗み出すものです。

フィッシングサイトへの主な誘導手段はメールやSMS(ショートメッセージサービス)になります。
年を追う毎にその手口は巧妙かしており、実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。たとえば、人事担当者を装って「業務メールシステムへの再ログインが必要」などと呼びかけるフィッシングメールが確認されています。

サービス利用者のアカウント管理の隙を突く不正ログイン事案も少なくありません。「異なるパスワードを考えるのが面倒」などの理由から複数のサービスに同一のIDとパスワードを使い回していると情報漏えいリスクが高まります。フィッシング詐欺やダークウェブでの売買などにより複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合を想像してみてください。
彼らはそのIDとパスワードを使って各種サービスのアカウントを芋づる式に乗っ取り、情報を盗み取ったり、犯罪に悪用したりするのです。

【パターン2】私用のインターネットサービスの業務利用

シャドーITなどとも言われていますが、企業が許可していない、あるいは利用ルールを設けていない私用のインターネットサービスをビジネスシーンに持ち込むことも情報漏洩の危険性が高まります。
利便性や作業効率の観点からついつい個人で利用登録しているクラウドストレージを勤務先に無断で利用し、取引先とファイルをやり取りしたり、業務情報を社外に持ち出してしまうことなどの経験があるのではないでしょうか。
コロナ禍によりテレワークが求められるようになり、PCを持ち出せる環境となった今ではあまり見かけないと思いますが、一昔前には自宅で仕事をするために、業務メールを私用のWebメールアドレス宛に自動転送しているということも多くあったと聞いています。
しかし、こうした行為から勤務先の情報漏えいにつながる可能性があります。

一定のセキュリティ基準を満たす為に企業では特定のインターネットサービスを安全に利用するためにさまざまなレベルで情報漏えい対策を講じています。無許可の端末・利用者によるデータへのアクセス制御、セキュリティポリシーに沿った設定の一括適用、ログ監視などです。

しかし、使われるべきでないインターネットサービスを管理するにはそれ相当のコストが必要になる為、一般的には管理の目が行き届きません。そのため、サービスの機能や仕様、利用規約の内容に対する理解不足、および設定ミスという利用者の過失による情報漏洩リスクがあります。
よく耳にする「公開範囲などのプライバシー設定に不備があり、ネット上にアップロードしたファイルが第三者から閲覧できる状態になっていた」というケースはその典型です。

また、サービス事業者の人為的なミスやサイバー攻撃がきっかけでネット上に保管された情報が外部に流出してしまう事故も起こっています。私用のインターネットサービスが漏洩元になった場合、企業によるインシデントの発見や対処が後手に回りがちで被害が広がりやすくなってしまうのです。そして、その対策のために企業が被る損害額は決して少額ではありません。

インターネットサービスの利用に伴う情報漏えいを防ぐ5つのポイント

以下にインターネットサービスの利用に伴う情報漏えいを防ぐために従業員が行うべき5つの対策を紹介します。

1.ネット詐欺やアカウント乗っ取りの手口を知る

ネット詐欺やアカウント乗っ取りの手口と事例を知ることは自衛策の基本です。セキュリティ事業者や関連団体が公表する注意喚起情報を定期的にチェックし、最低でも年に1回は情報セキュリティ研修を受講するなど、脅威に遭遇しても適切に対処できるようにしておくことが重要です。

2.メールやSMS内のURLリンクを不用意に開かない

たとえ著名な企業や実在する人物からのメールやSMSでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかる必要があります。
それらは受信者をフィッシングサイトへ誘導することが目的かもしれません。

3.アカウントを厳重に管理する

まず優先すべきは、勤務先にて定められた方法でアカウントを管理を正しく行うことです。
もし、何もないというような場合は、「サービスごとに異なるIDとパスワードの組み合わせを使用すること」「第三者に推測されにくいパスワードを設定すること」「二要素認証機能を使用すること」の3つは不正ログインを防ぐための重要なポイントですので覚えておきましょう。
また、勤務先に認められたパスワード管理ツールの使用を検討するのも一つの方法ですが、パスワードマネージャにも脆弱性問題もあるので”絶対”はないことは覚えておきましょう。

4.私用のインターネットサービスを勝手に業務利用しない

私用のインターネットサービスを業務に利用する場合は勤務先の利用ルールに従うことが原則です。また、使わなくなったアカウントは勤務先によって定められた手順で削除してください。アカウントを残していても情報漏えいリスクになるだけです。
情シスとしても”新しい生活様式”のために働き方が変わったSWG(Secure Web Gateway)やCASBの導入も検討すべきかもしれません。

5.サービスの機能追加や仕様変更に追随する

インターネットサービスは機能追加や仕様変更などが頻繁に発生するものです。企業のIT管理者はもちろん、一般従業員もバージョンアップに伴う変更点を正しく理解した上で適切に利用し、情報漏えいリスクを回避してください。
また、デスクトップアプリケーションなどを用いるサービスの場合は、デスクトップアプリケーションのバージョンアップも忘れずに行いましょう。

※これら5つのポイントは技術の進化等で変わる場合があります。

ここで、何かお気づきでしょうか? これらの内容はインターネットサービスに限ったことではないものがほとんどです。
情報漏洩を起こさないためのキホンの”キ”でもあるのです。


本記事は、トレンドマイクロ様の許諾によりインターネットセキュリティナレッジ「is702」の内容を元に作成しております。
ソース:https://www.is702.jp/special/3894/

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る