○ソーシャルエンジニアリングとは
最も身近なセキュリティ事故の1つに、「ソーシャルエンジニアリング」と呼ばれる攻撃があります。ソーシャルエンジニアリングとは、人間の行動や心の隙を突き、秘密状況を入手する攻撃の全般を指します。
ソーシャルエンジニアリング手法にはさまざまなものがありますが、代表的なものを次に記載します。
- なりすまし電話(スプーフィング)
- フィッシングメール
- トラッシング(スキャベンジング、ゴミ箱あさり)
- ショルダーハッキング(覗き見) など
今回は、トラッシングについて考えてみたいと思います。
○トラッシングとは
トラッシングとは、不要なものとして廃棄された紙や記憶媒体の中から、
攻撃者にとって有益な情報をあさり、盗み出す攻撃手法です。
具体的には、
「企業のゴミ置き場に行って探す」
「テナントの清掃員になりすましてオフィスに潜入し、ゴミを回収する」
「ゴミの収集業者になりすまし、ゴミを持ち去る」
といった手法が一般的に考えられます。
○紙のトラッシング対策
【シュレッダー処理】
紙の廃棄にあたって、もっとも一般的な対策はシュレッダーではないでしょうか。ただしシュレッダーによる紙の切断粒度が粗い場合は、実際には効果が薄いため、注意が必要です。
切断粒度が粗い場合、「この紙切れは見積書の一部で、金額情報が書かれている」などと、何となく分かってしまう場合があります。同じ紙の切れ端はすぐ近くにまとまっているはずなので、それをジグソーパズルのように繋ぎ合わせて復元するのは、決して難しいことではありません。
それでは、シュレッダーの粒度が細かければ復元はできないでしょうか?
そんなことはありません。どんなに細かくても時間をかければ復元は可能です。しかし、時間がかかりすぎると生産性が非常に低くなるため、完遂に至るケースは少なくなるものと思われます。
【溶解処理】
上記の通り、シュレッダーでは時間をかければ復元ができてしまう可能性がのこされています。
そこで、より安全な廃棄手法として、信頼のおける業者に紙の溶解処理を委託し、再生紙としてリサイクルしてしまう手法があります。
溶解処理は、「環境面で優れている」「溶解処理の証明書を発行するサービスを行う業者がいる」「(場合によっては)コストも安くなる」などの優れた点があり、紙の廃棄の選択肢の1つとなっています。
○記憶媒体のトラッシング対策
HDDなどの記憶媒体は、廃棄前にOS操作でファイルの削除をしても、
実際にはデータ復元ができてしまいます。OS操作による削除は、ファイルデータへアクセスするためのアドレスを削除しているだけで、「HDDの記憶域に記録されている実データ」を削除しているわけではないためです。そのため、安全に廃棄するためには、以下に記載するような対応をする必要があります。
【ディスクを上書きするツールまたはソフトウェアを使用する】
ディスク全体に対して、乱数で上書きするツール/ソフトウェアがあります。上記で記載した、「HDDの記憶域に記録されている実データ」を完全に上書きすることができ、データの復元ができなくなります。
しかしながら、いくらデータを上書きしたとしても、残留磁気により復元ができてしまう可能性が残されており、厳密には安全だと言い切れません。(特にSSDを利用している場合)
【物理的に破壊する】
上記のため、ディスクを物理的に破壊してしまうのが、トラッシング対策として最も有効であると言えるのかもしれません。
PDF形式で記事をダウンロードする