「情報システム部門からID・パスワードを聞かれたら、すぐに教える」
たとえば社内で業務中に、情報システム部門から「あなたのPCから情報が漏れた可能性がある。至急システムを調査するので、WindowsのログインIDとパスワードを教えてほしい」と電話が来たら、あなたはどのように対応するだろうか?
無用なトラブルは避けたいという一心で、つい電話の相手にIDとパスワードを教えてしまうかもしれない。これも、いわゆる「なりすまし」によってユーザーから直接情報を聞き出す、攻撃者の常套手段である。攻撃者は「あなたのPCから情報が漏れている」などの脅し文句で、ユーザーを瞬間的にパニックにさせ、正常な思考・判断能力を奪うのが狙いだ。もしそんな問い合わせがあったら、即答するのではなく、落ち着いて相手の名前を確認し、改めてシステム部門に問い合わせて事実確認を行なうくらいの慎重さが必要だ。
「自宅のPCで仕事の続きをすることがある」
最近は会社のセキュリティポリシーによって禁止されている場合も多いが、やむを得ずUSBメモリーなどで会社の情報を持ち帰り、自宅のPCで作業の続きをする方もいるだろう。ここで気をつけたいのが、「USBメモリーなどを経由して感染する不正プログラム」である。
前回まで、Webサイトを閲覧するだけで感染する不正プログラムを解説したが、USBメモリーなど手軽なリムーバブルメディア経由の感染に使用される“不正な設定ファイル”は、今でも大きな脅威である。事実、リムーバブルメディア経由で感染拡大する不正な設定ファイル「MAL_OTORUN(オートラン)」は、2009年の感染報告数の第1位となっている(図5)。
感染した不正プログラムそのものが情報を漏洩させなくても、Webサイトを経由して別の不正プログラムをダウンロードさせる(いわゆる“バックドア”や“トロイの木馬”として働く)場合もある(図6)。自宅と会社のPC両方に有効なセキュリティソフトがインストールされているか、ぜひ確認していただきたい。インストールされているだけでなく、定期的にパターンファイルやプログラムそのものが更新されていることも重要だ。
また、USBメモリーはPC本体よりも小型でポケットなど入れて手軽に持ち出せるため、USBメモリーそのものをどこかで紛失する危険性も高い。最近は暗号化機能や不正プログラム対策機能を最初から持つUSBメモリーも発売されているので、これを使用するのも有効だ。
「ブログやSNSに自分の情報を公開している」
最後に注意したいのが、インターネットの掲示板やブログ(ミニブログを含む)などで安易に個人が特定されるような情報を書き込まない(公開しない)ことである。複数の掲示板やブログに断片的な情報を書き込んだとしても、検索サイトやそのユーザーが利用しているSNSなど、複数サービスを丹念に調べ回ることで、個人を特定しうる情報が十分収集できてしまうケースがある(図7)。
不特定多数のユーザーが閲覧できる(IDやパスワードによるログインが不要な)公開系サービスでは、自分個人の情報公開を最小限にするなど、使い方に工夫が必要だ。また、初期設定が変わるなどして、自身では未公開だと思っていた情報が実は誰でも見られるように公開されていた、といった場合もあるため、自分が利用しているサービスの設定は定期的に見直すべきだろう。ブックマークリストなどを見直し、ほとんど使わなくなったサービスがあれば、登録情報を削除して退会するといった方法も有効だ。
◆
今回は新入社員向けに、基本的な情報漏洩対策を解説したが、新入社員でない方でもついうっかりやっている行動があったかと思う。今回挙げたような基本的な対策を一人一人が徹底することは重要だが、もし周りに対策できていないユーザーがいたら、「誰かが注意してくれるだろう」と放っておかず、積極的に呼びかけてセキュリティ対策に取り組んでもらいたい。一人一人が意識することで、部署や会社全体のセキュリティレベルが向上させられるのだから。
著者紹介:トレンドマイクロ株式会社 上級セキュリティエキスパート
黒木 直樹(くろき なおき)
プロダクトマーケティングを経て、製品開発部の部長代行、コンサルティングSEグループ兼インテグレーショングループ部長を歴任。2009年より戦略企画室部長として国内外のプロジェクトを推進した後、2010年にコンサルティングSE部部長となり、再び最前線の技術部隊を率いて営業活動を支援している。また、セミナーでの講演などを通じて幅広いユーザー層へセキュリティー啓発活動も継続的に行なっている。
この連載の記事
-
第13回
ビジネス
巧妙化した偽セキュリティソフトにご用心! -
第12回
ビジネス
Windows 2000だけじゃない! サポート切れOSは脅威のもと -
第11回
ビジネス
ケータイも安心できない!? モバイル・セキュリティ最新事情 -
第9回
ビジネス
“Web改ざんの恐怖”見ただけで感染の仕組みを理解 -
第8回
ビジネス
見ただけで感染! “Web改ざんの恐怖”を正しく理解 -
第7回
ビジネス
納得!企業向けと個人向け セキュリティー製品の違いとは? -
第6回
ビジネス
トレンドマイクロ“リージョンラボ” その実態を見た -
第5回
ビジネス
毎朝の憂鬱!スパムメールの手口と脅威、その対策まで -
第4回
ビジネス
なぜ止まらない? ファイル共有ソフトでの情報漏洩 -
第3回
ビジネス
すわっ PCに不正プログラムがいるかも!? どう確認する? - この連載の一覧へ