マロン

2019年12月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
無料ブログはココログ

« マロンが足元で寝ています | トップページ | iPhoneとAndroid、調教が必要なのは... »

2016年6月20日 (月)

JTBの793万人流出に思う

JTBで793万人分のパスポート情報を含む個人情報流出が発生したとのこと。

え?793万人?

日本の労働力人口は6598万人ですから、日本の労働者の十人に一人が流出という勘定で、赤ちゃんから最高齢者まで含めた日本在住の人の二十人に一人が漏洩したということです。

東京都の労働力人口は747万人ですから、数字で例えるなら、「東京都に住んでいる働いている人・働く意思のある人全員分のパスポート情報の漏洩」という、とんでもない状況です。

最近のセキュリティ事故は、もちろんサーバーOSの脆弱性をついたものとかがありますが、それ以上に、こうした偽装電子メールを使った例が非常に多いです。

社内の情報セキュリティに関わる仕事もしていますので、その立場から言えるのは、JTB(関連会社も含む)は従業員(正社員、再雇用社員、派遣社員、契約社員、アルバイト、パート等々、とにかくJTBで仕事する人)のセキュリティ教育が十分とは言えないのでは?と思うということ。

最近のソーシャルエンジニアリング、特にメールを使ったものは非常に巧妙です。最初のころは社内のアドレスを偽装したメールが多く、最近はJTBのように重要な取引先を狙ったものが少なくないようです。

セキュリティの要は従業者の教育、それも、一発やって終わりではなく、継続的に行う、抜き打ちの訓練をするなどが欠かせません。

ここでいう抜き打ち訓練とは、社内で無害な添付ファイルをつけて、わざと偉い人の名前や取引先っぽい名前で偽装メールを流し、何人が添付ファイルを開けるか、URLをクリックするかを確認するものです。

インフラ的には社員同士のメールを外部からの電子メールで偽装したものに騙されることを防ぐ(というか社内メールでないことを気づかせる)のは、投資さえすれば可能です。

一つの方法がMicrosoft Exchangeの導入。これとOutlookを組み合わせ、社内は一般のSMTP/POP/IMAPベースのメールではなく、Exchangeメールを使い、SMTP/POP/IMAPベースのメールソフトは使えなくする。そして、Active Directoryと統合し、ユーザーの顔写真がOutlookのメールアドレス(****@****.co.jpではなくExchangeのアドレス)とともに表示されるようにする。

社外とのやりとりはExchangeの機能で、@****.co.jpのエイリアスアドレスを付与して送り出す。

こうすることで、社員のAさんを語った外部からのメールは、偽物であることがすぐにわかります。なぜならアドレスが違うし、発信人のところに顔写真がでないから。

問題はJTBのような外部です。取引先を社内のExchangeに入れることは絶対にできませんから、上記の手段は使えない。

しかしある程度阻止することは可能です。

社内のネットに繋がったPCは全てActive Directory配下におき、グループポリシーでバッチリ縛ることが前提。さらに、ADに参加していないPCは、一切ネットに繋げられない、物理的につないでも、パケットが通らないようにする(不可能じゃない)ことです。

現在のWindowsはUnicodeベースで実装されていますが、Unicodeには右から左に表記する言語に対応させるために、RLO(Right-to-Left Override)という仕組みが定義されており、これを使うと、誰でも簡単に、例えばmyphoto.exeというマルウェアを、myphoto.jpgという一見JPEGファイルに見せることができ、さらに、このファイルをクリックすると、JPEGファイルが開くのではなく、マルウェアのmyphoto.exeが実行されます。

これ、現在のUnicodeベースのWindowsなら、だれでも簡単に試すことができますが、悪用されると困りますのでここでは方法は書きません。

しかし、Windowsのローカルセキュリティポリシーには、ファイル名のRLOがが含まれるファイルの実行を阻止する機能があります。この設定をユーザー任せにしては身も蓋もないので、Acitve Direcotryのグループポリシーでがっつり縛ります。

昔、WIndowsがUnicode非対応だったときには、拡張子を表示する、に設定すればわかったのですが、今はダメです。

セキュリティは、一にも二にも従業者の継続的な教育。そして、インフラでの予防措置です。はっきりいますが、ウィルス対策ファイルなんかほとんど役に立ちません。

まずは、OSやアプリケーションのセキュリティ修正プログラムを必ず適用すること。これが最低限の予防策であり、次がウィルス対策です。個人ベースでは、添付ファイルは気軽にあけないこと。最近は企業側も重要なファイルを添付ファイルで送るようなことは減ってきています。

銀行などのメールは電子署名が付与されているものもあり、真偽の確認が容易です。

ウィルス対策ソフトを導入したから大丈夫、なんてのは、論外の論外だということを忘れてはいけません。

« マロンが足元で寝ています | トップページ | iPhoneとAndroid、調教が必要なのは... »

その他」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

トラックバック


この記事へのトラックバック一覧です: JTBの793万人流出に思う:

« マロンが足元で寝ています | トップページ | iPhoneとAndroid、調教が必要なのは... »