企業における情報漏えいリスクは上級管理職にあり　ほか

　1月は年始からさまざまなセキュリティ関連の話題が盛りだくさんでした。

　まず国内では、もんじゅ職員用PCがウイルス感染し、情報漏えいした可能性があるとの報道があり、後に韓国製動画再生ソフト「GOM Player」の自動更新機能を悪用した攻撃だった可能性が指摘されています。また、KADOKAWAのサイトにマルウェアを送り込むiframeが仕込まれていたことが判明し、あらためて「正規サイトも危険である」との注意が喚起されています。

　世界に目を向けると、米小売大手のTargetでマルウェア感染したPOS端末からカード情報が漏えいした事件が大きく報道されているほか、BIND 9の脆弱性、NTPサーバーの状態確認機能を悪用したDDoS攻撃の発生、すでに利用者のいるGoogle Chromeの拡張機能を開発者から購入し、自動アップデート機能でマルウェアを配布する悪質業者の存在などが報道されました。

　また、いまさら感はあるものの、NSAがコードネーム「Quantum」と呼ばれる作戦で世界中の10万台ものコンピューターを無線で監視していたとの報道が大々的になされ、これに伴って半導体チップに盗聴機能が組み込まれる危険性が指摘されています。

企業における情報漏えいリスクは上級管理職にあり

　一般的に、企業の情報漏えいは内部に起因するものが多いと言われています。中でも経営層などの、より機密性の高い情報に触れることのできる者が最も「危ない」とされています。このような世間で言われているリスクを具体的に示す調査結果が公開されました。

　米STROZ FRIEDBERGは、従業員20人以上の企業で働いている米国の会社員764人に対するオンラインによる調査結果を発表しました。調査は昨年10月28日から11月4日までの間に行われました。

　調査レポートによると、上級管理職（Senior Manager：Vice Presidentより上）が最も機密情報を漏えいさせる危険性が高いという結果がはっきりと出ています。具体的には、上級管理職の87％が機密情報を日常的に個人のメールアドレスやクラウドに転送しており、また58％が機密情報を間違った宛先に誤送信した経験があるとしています（社員全体で誤送信の経験があるのは25％）。さらに51％が離職後にファイルを持ち出したことがあるとしており、これは一般社員の2倍に当たります。

　社員全体で見ると、業務で使用しているファイルを個人のメールアドレスやクラウドに転送しているのは4分の3近くに及んでいます。その理由として、37％が個人のパソコンを使いたいからとしています。

　一方、個人のアカウントに転送「しない」社員で、そういった転送が会社のポリシーに違反していることを知っているのは11％に過ぎないという結果も出ています。また、モバイル端末のセキュリティ研修を受けたことがあるのは37％、情報共有に関する研修を受けたことがあるのは42％にとどまっており、レポートでは社員への研修がもっと必要だとしています。

　このような中、社員は会社のセキュリティレベルに対して不安を抱いているとの結果も出ています。社員の73％が社会保障番号や誕生日、自宅の住所などが外部の攻撃者に盗み取られるのではないかと感じており（全く気にしていないと回答したのはわずか6％）、61％が自社のセキュリティレベルをCランクまたはそれ以下と評価しています。

　これに対し、上層部の45％はサイバー攻撃から会社を守るのは自らの責任としつつも、52％は自社のセキュリティレベルをCランクまたはそれ以下としています。ちなみに、上層部以外の従業員の54％はサイバー攻撃から会社を守るのはIT部門の責任と回答しています。

　いずれも「さもありなん」という結果ですが、調査結果の内容をうんぬんする以前に、外部の調査に対して（匿名性が保証されているとしても）、随分と「赤裸々に」回答している、その正直さに少々の驚きを感じています。

韓国で史上最大のカード顧客情報流出事件、その後

　大規模な顧客情報流出が頻発している韓国で、過去最大規模の情報漏えい事件が起きました。すでに日本でも一般のメディアが大きく報道していますので、今回はこの事件を受けて韓国内で「どのような動きがあったのか」などの「その後」を報道に基づいて紹介します。

　まず事件の概要をおさらいすると、韓国の大手クレジットカード3社（NHカード、KBカード、ロッテカード）から外注協力会社の社員がUSBメモリで延べ1億400万人分の個人情報を持ち出し、売りさばいていたというものです。

　これまでも韓国では数千万単位の個人情報の流出事件はありましたが、今回は、韓国の人口の2倍にも及ぶという件数の多さから、韓国内に限らず、海外でも大きく報道されています（その後の調査により、重複を除外したユニークな被害者数は最大で2千万人に達すると見られています）。また、流出した情報が住民番号や電話番号、カード番号、有効期間のみならず、既婚か否か、また住居の状況など、極めてプライベートな情報まで広範囲に及んでいることから、当然ながら怒りの声が上がっています。さらに、今回の事件に便乗して、情報流出に不安を感じている一般消費者をだまして暗証番号を聞き出すなどの詐欺も行なわれています。

　韓国では情報漏えい事件が多発していることから、これまでもさまざまな規制や罰則の強化などを行ってきましたが、それでも今回のような大規模な事件が起きたことから、金融機関に対しては、外部の信用評価機関によるセキュリティ面での「信用格付け」を行い、ダブルAからDまでのレベルに分類した結果を公表する「セキュリティ評価公示制」を導入すべきではないかとの意見が出ています。消費者はこの結果を銀行選択の基準にできるわけです。現時点では、あくまで関係者内での一意見でしかなく、具体的な法制化の動きがあるわけではないですが、何かと「イケイケ」の韓国なので、そのうち本当に法制化される可能性も全くないとは言えないでしょう。

　また、今回の事件をきっかけに、金融監督院が「情報流出監視センター」を緊急設置しました。これは流出した個人情報の不正流通を防ぐことを目的にインターネットの監視などを行う機関で、一般からの通報も受け付けており、局番なしの電話番号1332や金融監督院のホームページ、電子メール等で届出が可能となっています。

　このような中、ユーザーが自分の個人情報が漏えいしたかどうかを確認するための照会サイトが開設され、公認認証書（クライアント証明書）、クレジットカード、携帯電話のいずれかで本人確認を行うことで流出した個人情報を具体的に確認することができます。

　ところが、このサイトに対応しているブラウザーがInternet Explorer（IE）のみで、他のブラウザーはもちろん、携帯端末などからも全く利用できないことが問題として指摘されています。韓国では長年に渡り、ほぼ完全に「Windows＋IE」という環境しかない状況だったのですが、この数年のスマホやタブレットの普及で状況が一変。IEのみ対応というサイトは徐々に減ってきているのですが、今回のような極めて公共性の高いサイトでIEのみ対応というのはそもそもの思想からしておかしな話です。急いで用意したサイトなのでしょうが、こんな状況では被害者が不満を抱くだけでなく、不安を感じるのは当然でしょう。

セキュリティ専門家に対する10の誤解

　セキュリティ関連の仕事をしていると、一般の人々がセキュリティ業界の人々に対していろいろと誤解をしていることに気付くことがよくあります。そんな中、米CSO誌が何人かの業界関係者にインタビューし、そのような「ありがちな誤解」をまとめたものを公開しました。

1. セキュリティ専門家は昇進に限界がある
2. セキュリティ分野で仕事をする人は全員セキュリティ専門家である
3. セキュリティ専門家は偏執症（パラノイア）患者でありアルミホイルの帽子をかぶって公開鍵交換パーティを開く
4. セキュリティ専門家はコンプライアンスがそのままセキュリティを意味すると考えている
5. セキュリティとインフラ／運用部署は常に仲が悪い
6. 情報セキュリティとは非常に技術的な規律である
7. ハッキングとは映画に出てくる姿そのままである
8. セキュリティ専門家は生産性や使用可能性よりセキュリティに価値を置く
9. 忙しい／退屈な仕事などない
10. セキュリティは攻撃を防ぐことがすべてである

　あまりのバカバカしさに笑ってしまうものもありますし、それは「誤解」ではなくて、ある程度は「事実」じゃないかなと思えるものもあります。それでも、「あるある」と感じる人は少なくないのではないでしょうか。