最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。連載一覧はこちら。
大学で個人情報漏えい、ネットワーク機器の設定にご注意?
今月、都内の大学が管理するNAS(ネットワーク対応ストレージ)に適切な設定がなされておらず、のべ約5万1000人分の個人情報が外部から閲覧可能な状態になっていた出来事が報道された。
昨今、個人でサーバーを運用する人やネットワークに接続する機器が増えており、こうした事件が起きる確率は今後ますます高まっていく可能性がある。この事件と対策について、ITジャーナリストの三上洋氏に訊いた。
三上 「事件の内容については、かなり驚いています。おそらく、NASを管理する部署が持っていたすべての情報が、外部から閲覧できる状態になっていたのでは」
保管されていたデータには、学校在籍者の住所や氏名、生年月日などの個人情報が含まれるが、氏名や生年月日よりも重要な、大学ならではの情報があると三上氏は指摘する。
三上 「より深刻なのは、個人の成績情報です。各科目のスコアやGPA(成績評価値)は、その人の能力の価値をそのまま表わす数値なので、それが閲覧可能になっていたのなら、相当な問題があると思います。もともと成績情報というのは厳格に守っていかなくてはいけないものですから、管理体制には気を付けるのが当たり前なのですが……。
さらに、教員免許の更新情報や入学予定者の情報など、学校の在籍者ではない人のものも含まれているとされています。これは、たとえば試験を受けただけの人の情報まで閲覧できたかもしれないことを示します」
ネットワーク接続機器はシステム部門が管理すべき
三上 「今回の出来事は、NASが誰でもアクセスできる設定のまま放置されていたことが原因です。FTPという通信プロトコルの設定で、外部の一般ユーザーが認証抜きで接続できるanonymousログインが可能な状態になっていたのですが、日頃からNASを運用している人であれば、こんな設定にするわけがないんです。
報道から推測する限り、教務課に該当する部署がNASを独立して管理していたようです。おそらく、NASやFTPについてきちんとした知識を持っていなかったのではないでしょうか。インターネットに接続する機器は、システム部門がきちんと管理するべきだということは言えます。そこも含めて、管理体制に問題があったということです」
ハードウェアの管理は盲点になりやすい
とはいえ、設定ミスで個人情報が筒抜けになっていたという事例は意外に多い。三上氏は、過去の代表的な例を2つ挙げてくれた。
三上 「1つは、サーバーとしても機能するコピー機。過去のコピー情報が外部から誰でも閲覧できる設定になっていた、という事例が過去にありました。もう1つは監視カメラです。ネットワークに接続できるIPカメラで、モニタリング用のURLを入力すれば、誰でも直接カメラの映像が見られるようになっていた事例があります。
要するに、ネットワークに接続する機器に、しっかりしたセキュリティ設定をしていない例がすごく多いんです。PCやスマホなどは、乗っ取られたら危険という認識がある程度は浸透していますが、独立したコピー機やカメラなどは意外と盲点になるんですね。NASに限らず、外部からネットワーク接続できる機器に関しては、しっかりとセキュリティ対策を取るべきです」
家庭のNASには仕事のファイルを置かない!
企業では導入前に必ずシステム管理部門と相談を
三上 「最後にNASを家庭や企業で使う場合の注意点ですが、まずは導入時に設定をしっかり確認し、FTPを無効にするか、FTPにアクセスできるユーザーを限定してID・パスワードを設定することが大切です。
もしFTPを有効にする際には、不正アクセスに備えて、プライバシーに関するファイルや業務上の書類などはNASに保存しないように注意して下さい。
企業の場合は、導入前に必ずシステム管理部門と話をして、NASを置いていいのかどうか、そして管理は誰がするのかをハッキリさせましょう」
この連載の記事
-
第22回
デジタル
パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る? -
第21回
デジタル
ランサムウェアがビジネス化して、信用を重視しはじめてきた -
第20回
デジタル
使っちゃダメ! FPS向けチートツールが国内初の摘発事例に発展 -
第19回
デジタル
これぞ攻性防御!? 警視庁が国内初のボットネット無力化作戦決行! -
第18回
デジタル
史上最悪の振り込め詐欺被害額! 対策は両親宅に電話番号を貼り出せ!? -
第17回
デジタル
「年収1000万のイケメン」に注意!? 女性を狙う婚活サイト詐欺 -
第16回
デジタル
なぜ!? パスワードを変えても、SNS乗っ取りが止まらない -
第15回
デジタル
翻訳サービスの仕様で公官庁のメール文が見放題に!? -
第14回
デジタル
SNS乗っ取りスパム、犯人は海外の詐欺業者だった!? -
第12回
デジタル
2015年、気をつけたいセキュリティの脅威とは? - この連載の一覧へ