ショップハンター

　日本年金機構の職員による個人情報流出事件が明るみに出たのが 2015年6月1日でした。
　日本年金機構ホームページ (復旧作業中） [公式サイト]

　その数日前に見た夢の内容が、国民にIDを振って個人情報を管理するというものでしたから、偶然とはいえ少々複雑な心境です。




　現実話にもどりますが、今回の個人情報漏洩事件は職員のセキュリティ意識の低さが元凶なのはまちがいないでしょう。
　メールに添付されていた実行可能ファイルを開いたことにより、パソコンがウィルス感染したとのことですが、これは絶対にやってはいけない初歩的なミスです。

　しかし、悪質なメールの手口が巧妙化している昨今では、すべての職員に高いセキュリティ意識を持てというのも限界があります。
　IT系業務を本業にしている立場の者の考え方と、一般的な PC ユーザの考え方には大きな隔たりがありますし、本業でもないのに覚えることばかりが増えて業務に支障をきたしかねないと悲鳴をあげている人がいるかもしれません。

　その問題を起こした職員を擁護するつもりはありませんが、人間は必ずミスを犯すものですし、人間の記憶も曖昧なものです。
　ですから、その起こりうるミスを最小限に抑える努力を怠ったという点について、セキュリティ担当者の詰めの甘さの方に問題があったと私は考えています。

　最近のアンチウィルスソフトでは、不審なファイルを検出すると自動的にウィルススキャンするものが主流になっていますし、セキュリティにうるさい企業なら、実行可能ファイルつきのメールは受信サーバ側で強制的に削除するように設定するのがむしろ一般的です。

　今回のニュースで日本年金機構のメールサーバは、実行可能ファイル（*.exe、*.vbs、*.xlsmなど）やアーカイブファイル（*.zip、*.rar、*.lzh など）を自動削除しないことがバレてしまいました。
　これでは侵入検知システムも導入されていたのかどうかも怪しいものです。

　そういうネットワーク環境で自由に添付ファイル付きのメールが行き交ってしまうのですから、いつか、誰かがヤバいファイルを開けてしまうことなど容易に想像がつくはずなのです。

企業はセキュリティコストをケチるべからず

　システムをあつかうという仕事柄、セキュリティ対策の話題は絶対に避けて通れないのですが、ユーザにいくらその重要性を説明したところで伝わりにくいのが現状です。
　そればかりでなく、「もっと安くならないだろうか」とか、「なくても何とかなるのではないだろうか」というような、ケチりたいという意識が先行するユーザの多さに驚くばかりです。

　見えない（わけのわからない）ものに金を払いたくないという気持ちはわからなくもありません。
　でも、コスト下げろと言われるたびに、こう心の中で叫びたくなりますな。

　笑っていられるのは問題が起きてないうちだけ。
　悪意あるユーザに侵入されたり、情報盗まれたりしたらケチった分の何倍もの代償を払わされることになるんだぜー！

　本ブログでもしつこいくらい申し上げていますが、完全なネットセキュリティというものは存在しません。
　重要な情報をネットでやり取りするなら、セキュリティには入念な計画とそれなりのコストがかかります。

　個人情報をきちんと管理しようと思えば、最低でも以下の対策は必要になるでしょう。

　1. ネットワークにつながっているすべての PC へのアンチウイルスソフトウェア導入（ウイルス定義自動更新）。
　2. イントラネットとインターネットの回線の分離
　3. ファイアウォール、侵入検知システムの導入
　4. サーバ環境、ネットワーク環境の専門保守スタッフの投入

　導入コストは社内スタッフが多ければそれだけ高くなりますし、一度導入すれば保守費が定期的に乗っかってきますので、セキュリティにかけるお値段は決してお安くないことはご理解いただけるでしょう。

個人の情報はさまざまな形でもれる

　ネットセキュリティの話をすると、ネットで金銭のやりとりをしてないから大丈夫という方がいらっしゃいますが、オフラインでも情報はもれます。

　たとえば、キャッシュカードの暗証番号は 4桁ですね。
　この4桁の数値の組み合わせは 10の4乗で 10,000 とおりです（実際は 9999 と 0000 が無効なので 9998 とおり）。
　この組み合わせの少なさはすぐに暗証番号を破られるという危険性とつねに隣り合わせなのです。

　また、悪意ある知人があなたのキャッシュカードを入手して、あなたの生年月日や電話番号の語呂などで簡単に暗証番号を割り出せたりします。
　（最近は他人によるなりすまし対策として、静脈情報を読みとるタイプの生体認証ICキャッシュカードが徐々に普及しつつあるのはよい傾向だと思います。）

　もっとアナログな例ですと、国民健康保険証を悪用した詐欺事件も後を絶ちませんし、盗難や空き巣、強盗などで個人情報を持ち逃げされる可能性だってあるわけです。
　つまり、オンラインだろうが、オフラインだろうが情報はいとも簡単に漏洩したり、悪用されたりするのです。

　自分は絶対大丈夫、という自信の方が相当ヤバいかもしれません。

意外と自分から喜んで渡しちゃってる個人情報

　自分は大丈夫と思ってらっしゃる方のために、ヒヤリとくる話を 2 つご紹介します。

　1. オンラインマップであなたの住まいが丸みえ

　これは、荷物の送り主の所在地を Google Map やストリートビューなどでチェックする行為です。
　つまり、一度も面識のない人間に住所情報を渡すと、それはいつでもネットでチェックできるということなのです。
　しかもカラー画像でいろいろな角度から確認できるという、なんとも親切な仕様になっていたりもします。

　たとえばこんな感じ。
　Google Map の航空写真でアマゾン市川フルフィルメントセンターをみたところ [外部リンク]

　オークションで先方に自宅住所を教えていたり。
　ネットでほんのちょっとだけ親しくなった人たちと自宅の住所を使ってプレゼント交換していたり。

　心当たりはありませんか？


　2. アンケートであなたの情報もうっかりダダもれ

　リサーチビジネスを利用している方も多いと思います。
　これは、アンケートに答えたり、サンプル品を使って感想を送ったりすると、ポイントや金券がもらえるというものです。

　楽天リサーチ、マクロミル、リサーチパネルなんかが有名どころではないでしょうか。
　これらは、ターゲットを絞った対象者から情報を収集して、その集計結果を企業に結構な金額で販売することで成り立っています。

　言い方は本当に悪いですが、統計情報を企業に高く売りつけるために、微々たる報酬で一般ユーザを釣って情報を収集するビジネスです。

　よくあるじゃないですか。
　お住まいを教えてくださいとか聞いてきて、郵便番号や住所の一部を入力させるタイプのやつ。
　住所の短い方は所在地が特定されますので、お気をつけください。

　また、サンプル品を送るタイプのアンケートは住所情報を聞いてきます。
　もちろん企業データベースにその情報は蓄積されます。
　期待虚しく抽選からもれてしまったときには、住所情報をだけ取られてハイ、終わりです。

　さらに、アクセスログを取らせてほしいという案件もあったりしますが、あなたのネット上の行動を監視させていただきます、ということにほかなりません。
　ついでになりますが、ツールバーという類いのものは、そろいもそろってアクセスログを収集していることは覚えておきましょう。

　いかがですか？
　ゾーッとしてきた方もいらっしゃるのではないでしょうか。

　長くなってしまったのでいったん切ります。
　次回は、個人情報をできるだけ自分から出さないようにする工夫と、企業向けの対策についても簡単にご紹介したいと思います。


　関連記事：
　Outlook.com で不正アクセスされたぞい
　[個人対策編] うっかりもれてる個人情報
　[個人情報抜き取り事件] 公開プロキシサーバは絶対に、絶対に使っちゃダメ
　自意識過剰にならざるを得ないのがネットの世界
　Web サービスを過信しちゃいけない理由
　クレジットカード利用者は今年中にパスワードの変更を


←こちらからこっそりコメントでけます