情報セキュリティの脅威はすぐそこに

⽇本年⾦機構の情報漏えい事件に寄せて

日本年金機構の話題が世間を騒がせています。「漏らすなよ、けしからん」という国民の声はごもっとも ですが、ITや情報セキュリティに携わる身としては明日は我が身です。明らかになっている情報は少ないですが、今回の事件から気をつけたいことを整理しましょう。


1.不審なメールのURLや添付ファイルをクリックしない
今回の情報漏洩の入り口はメールに添付されていたexeファイルをクリック・実行し、ウィルスに感染した、あるいはメールのURLをクリックしたリンク先でウィルスをダウンロードさせられたことがきっかけと言われています。先日、当社でも実験しましたが、それらしいメールが来ると疑わずにクリックしたくなるのは人の性です。またメール送信者側の都合で、業務上のファイルを自己解凍形式の暗号アーカイブにして送らなければならないという風習を持った企業が少なからず存在し、受信者側もそれに慣れてしまうと、たとえexeであってもついクリックしてしまうというのはわからないでもありません。
とはいえこれだけ話題になってしまっているので、ついうっかりクリックしてウィルスに感染したという言い訳は恥ずかしいだけでは済みません。

 

2.アンチウィルスソフトを過信しない
「アンチウィルスソフトをインストールしてあるから平気でしょ?」という意見もありますが、今回の事案では大抵のアンチウィルスソフトでは検知できないタイプのものだったという情報もあります。アンチウィルスソフトをインストールしてないというのは論外ですが、それをくぐり抜けてきてるから大丈夫だろうということは決してありません。

 

3.運用ルールには意味があり、だからこそ守らねばならない
また今回「本来の運用ルールではサーバから保存したファイルにはパスワードをかけることになっていたが、これが徹底されておらず、約55万件がパスワード設定無しで流出出した」とされています。これはExcelかZIPのパスワードではないかと推察できます。万が⼀流出したとしてもパスワードが設定されていた状態であればある程度被害を緩和できますが(ただしExcelやZIPのパスワードを破るのはパスワード長にもよりますが、難しくはありません)、この運用ルールの意味を考えず「面倒くさい」という程度の理由でこれを無視してしまっては元も子もありません。
現状の当社でも「一見面倒くさいルール」がいくつかありますが、それぞれに想定しているリスクと意義があります。それを曲げるような大義名分はそうそうありません。

似たような標的型攻撃やウィルス感染の話題はたくさん報道されています。改めて意識しなければならないのは、これは対岸の火事ではなく「明日は我が身」と意識することではないでしょうか。