私物を業務で利用する際のリスクとその対策について
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月19日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・事故の原因「フィッシング詐欺」について改めておさらい
・業務上のデータがどのようにして攻撃者に閲覧されたのか?
今回の解説ニュース
個人用のクラウドサービスが乗っ取られたことで、業務上のデータまで攻撃者に閲覧されてしまった可能性があるということです。今回は、私物を業務で利用する際のリスクや、その対策について説明します。
今回のインシデントは、個人的な写真や業務上使用する資料の一部を撮影した写真が、攻撃者から閲覧できる状態になっていたことが判明しました。原因として、個人用端末アカウントから行ったインターネットへのアクセスでフィッシング詐欺に遭い、個人で契約していたクラウドサービスのアカウントが乗っ取られたこと、また、個人用端末アカウントで保存していたデータを外部のクラウドサービスへ自動的に保存する設定としていたことが挙げられています。
加えて、個人情報等の取り扱いに関する認識が不十分であったために、個人情報を持ち出す手続きが行われず、個人情報等を含む資料を個人用端末で写真撮影し、保存していたことも原因として挙げられています。
対策として、個人用端末に保存されていた写真データ等の全てについて個人情報の有無や内容を調査し、順次、当該関係者に連絡を行い、経過説明と謝罪を行っています。再発防止策として、事案の共有と注意喚起を行い、個人情報等の管理の徹底とさらなる意識の向上について指導していくということです。
事故の原因「フィッシング詐欺」について改めておさらい
インシデントの詳細は公表されていませんので、あくまでも一般論となりますが、メールや携帯のショートメッセージ、最近ではSNSのDMなども使って、フィッシング詐欺を行うURLをクリックするように誘導します。
URLをクリックして遷移したWebサイトでは、景品が当選したなどといったユーザの興味を引く内容から、ユーザIDやパスワード、クレジットカード情報などの入力が促されるわけですが、当然、フィッシング詐欺ですので、入力された情報はすべて攻撃者の手に渡るわけです。
その他のトピック
業務上のデータがどのようにして攻撃者に閲覧されたのか?
(全文はこちら)