添付ファイルと情報漏洩

日本年金機構から個人情報が漏洩した件がニュースになっています。

これは不正なメールの添付ファイルを開いた為に、パソコンの中にバックドアという不正侵入の入り口を作ってしまったことをきっかけにしています。

バックドアのあるパソコンを不正に操作され、業務で利用する為にファイル共有サーバーに保存している作業用ファイルを持ち出されてしまったようです。

このようなセキュリティの事故を防ぐ為には幾つかの前提があります。

・メールの発信元は偽造できる、ということ。

・添付ファイルはほとんどの形式でマルウェアを含ませることができる脆弱性を持っていること。

・アンチウィルスソフトでは未知のウィルスを検出できないこと。

この三つの条件は最初に頭に入れておく必要があります。

送信者欄のみを見れば、不明な発信者とはわかりません。

ターゲットをしっかり把握した上で、直接の取引先などに偽装した場合、多くの受信者はこれを不正なメールと判別することは難しいでしょう。

ターゲットをはっきりと把握した、という部分が最も重大で、どのような情報を得るにはどのアドレスに不正なメールを送信すればいいかを攻撃者はあらかじめ把握しているということです。

送信する添付ファイルに含ませるマルウェアは未知の脆弱性を含むものを利用します。

添付ファイルで、エクセル、ワード、パワーポイントなどオフィスファイル以外にも、圧縮ファイルにも、PDFファイルにも現在知られていなく、また検出できない脆弱性があります。

攻撃を目的としているグループでは公表されず修正されていない脆弱性の情報を幾つか持っているでしょう。

盗難できる情報の価値がたかそうな場合はそれらの組み合わせで送信され、今回のように攻撃者は目標を果たすことができています。

これを防ぐ為にはということを考えるなら、流出してはいけないデータを運用する方法を、と考えるのが一番の早道かもしれません。

ネットに繋いでいるパソコン、繋がっていないパソコン、という区別で取り扱うデータを分けるのでも不十分で、また人手による管理が複雑化するだけです。

パソコンを分ける方法で不十分なのは、今回のケースでも住基ネットと直接接続されているパソコンからは個人情報が漏洩していないことからもわかります。

これは行政などに関わらない民間企業でも、十分に想定しておくべき事態です。

これらのことに対抗する装置やソフトができたとしてその裏をかくいたちごっこが続くのでは意味がありません。

保護すべき情報資産を最小限にし、それが流出するリスクを抑えていくにはどうするのかを真剣に考えていく必要があります。