電話から業者を騙り個人情報窃取、技術的ではないサイバー攻撃
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月17日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・個人情報を扱うシステムに対してのセキュリティ対策について
・相手の心理や行動のミスに付け込む、ソーシャルハッキング
今回の解説ニュース
名刺管理システムが不正アクセスを受け、名刺情報が漏えいしてしまったということです。個人情報を取り扱うシステムに求められるセキュリティ対策や、技術的ではないサイバー攻撃について説明します。
今回のインシデントでは、不正なIPアドレスから同社社員のIDでアクセスされ、名刺管理システムに登録されていた名刺情報が漏えいしてしまいました。原因として、名刺管理システムの運営会社を名乗る担当者から電話とメールで連絡がありIDとパスワードを詐取されたことが挙げられています。
対策として、名刺管理システムの当該社員のIDの停止、名刺管理システムに登録されている全IDのパスワードの初期化、全社員への注意喚起を行うとともに、個人情報保護委員会に報告しています。再発防止策として、データへのアクセスの二段階認証方式によるセキュリティ強化、個人情報保護の重要性と情報セキュリティ及び個人情報保護規程に関する社員教育の徹底を行うということです。
個人情報を扱うシステムに対してのセキュリティ対策について
個人情報を取り扱うシステムで求められるセキュリティ対策として、不正アクセスを受けてもデータが再利用されないための対策が必要です。具体的には、データの匿名加工やDLPが挙げられます。
例えば、皆さんもスマートフォンで電話帳の機能を使っているのではないでしょうか。電話を受ける目的の範囲内においては、必ずしも名前を正しく完全な状態で登録する必要はないかもしれません。
個人情報を取り扱うシステムの場合、すべての人が完全な個人データを見られる必要がない場合があります。具体的には、システムの画面から見られる個人データは一部に匿名加工が施されながら、メールなどで個人データを利用する際はシステムを通じて処理されることが考えられます。
また、データ自体を監視する仕組みとして、DLPが挙げられます。DLPとはData Loss Preventionの略で、データを監視して保護する機能です。一般的なセキュリティ対策が主にユーザの挙動を監視するのに対して、DLPはデータを監視することで、機密情報と判断されたデータに対して、想定しない漏えいから保護することができます。
例えば、Aさん自身を監視していても、Aさんがアクセスを許可された機密情報を持ち出すことは、ユーザの挙動に対する観点からは正しいアクセスと判断されます。しかし、DLPでデータ自身を監視していれば、Aさんが仮にアクセスを許可されたデータであったとしても、機密情報の持ち出しとみなされますので、不正なアクセスと判断することができます。
その他のトピック