|
|
|---|---|
 |
|
 |
|
アンケートに協力いただきありがとうございました!
(c) ピクタ|写真素材 PIXTA
インフルエンザが流行っている。一度かかったら3,4日会社を休まなければならない。その間にお客さんからの重要なメールが届いているかもしれないので、休んでいる人に電話して次のような会話が交わされる
○「もしもーし!お前のメール確認するからパスワード教えてくれ」
●「ああ、それなら付箋に書いて貼ってあるから」
○「ん、この【1234】ってやつか?」
●「あー、それそれ」
付箋に書いて貼っている段階で既にパスワードの要を成していない上に、「1234」というパスワードは当てずっぽうで真っ先に試される文字列だ。
セキュリティ意識のしっかりしているSIベンダーならそんなことはないだろうと思うかもしれないが、実は一般のオフィスと大して変わらない。入退室管理が厳重な分、パスワードの野放しぶりはヒドいのだ。
そうしたオフィスは、ソーシャルハッキングと呼ばれる情報窃取のかっこうのターゲットになる。
ソーシャルハッキングの手口には色々あるが、非常に原始的な方法が採られる場合が多い。システム的に完璧と思われるセキュリティ対策を施したオフィスほど、次のような原始的な手口には弱いのだ。
・ゴミ箱をあさって、パスワードをメモした紙を盗み出す
・テクニカルサポートだと偽って電話をして、パスワードを聞き出す
・お役所関係を装っていかにももっともらしいメールを送りつけて情報を盗み出す
これは、IPA(情報処理推進機構)の名を騙って、かつ報告書に偽装したキーロガー(キー操作を盗み出す不正プログラム)を送りつけてきた例である。
送信元ドメインもgo.jp(政府関係機関)となっており、腹が立つことに文章もしっかりしているので、ソーシャルハッキングだと見破ることは難しいだろう。被害が発覚してから泥縄式に注意喚起をするしか打つ手がないことも多い。
IPAでは、こうしたソーシャルハッキングの手口をまとめて公開した。セキュリティ関係者だけではなく、広く読まれるべき資料と言えるだろう。
ただ、闇雲に何でも警戒するのが良いわけではなく、恐れてばかりいては何も業務が出来ない。差しあたり身近なところからセキュリティ意識を涵養していくべきだろう。
冒頭に紹介したパスワードについても、上司の承認を得てシステム管理者がリセットするというルールを定めるとか、パスワードに代わる認証手段として、USBキーと指紋認証を併用するなどの方策を検討すべきである。
会社というのは、おおむね現場に行けば行くほど効率優先となりがちなので、本社レベルでルール作りを進めて、現場の理解を得られるよう最大限の努力をすることも重要だ。
(編集部 真田裕一)
【関連記事】
・一度のログインで安全に複数のサイトが使える シングルサインオン製品「HP IceWall SSO 8.0 R3」
・パスワードや暗証番号に何を使っていますか
・<パソコン快適活用術>電源はなるべく切らずにこまめにリブート<
・USBファイル暗号化ツールで、情報漏洩を防ぐ!
-ITからセレブ、オタク、事件・事故まで。スルーできないニュース満載-
TechinsightJapan(テックインサイトジャパン)はコチラから!
