人事異動や引越しのすき間を狙う脅威とは？：会社に潜む情報セキュリティの落とし穴（2/2 ページ）

[萩原栄幸，ITmedia]

個人で注意すべきこと

アパート管理者

　大学時代にわたしが実際に体験した出来事を紹介します。2年の時に引越しをしたアパートは、1階に肉屋と不動産会社が入居しており、その不動産会社が2階部分のアパートを管理していました。卒業まであと3カ月ほどとなった12月のある日のことです。卒業論文の作成に追われ、アパートに帰る日が週に2回ほどになっていました（専攻は化学でしたので実験を数多くこなさなければなりませんでした）。たまたま、アパートに持ち帰っていた実験の検証に使う論文を取りに戻った時でした。アパートのドアが半開きになっていたのです。「鍵をかけ忘れたのかな」と思い、そっとのぞくと、なんと1階の不動産会社と若い男性が部屋の中にいたのです。私は信じられない光景を前にして「ここは私の部屋です。言い訳をする前にまずここから出てください」と大きな声で叫んだのを今でも覚えています。

　すると不動産会社の担当者は当たり前のような口調で、「萩原さんは3月で退去すると聞いているから、4月から入居する予定の人に部屋を見せていただけではないか」と言いました。いくら管理会社でも正当な理由なく入居者の部屋に入ることができないのは常識です。現在では考えられませんが、20〜30年前はこういう意識でいた人が多数いました。しかし、法律では当時からこのような行為が禁止されていたのは言うまでもありません。そこでわたしは以下のことを思いました。

• どんなに鍵をかけていても管理会社や大家は当然マスターキーを持っている。彼らが悪意でその鍵を使ったら何でもできてしまう。
• 法律にはあまり意味がない。禁止行為でも「確信犯」にとってはまったく意味がない。法律や規則はその精神があってこそ初めて生きるものだ

　結局、不動産会社は「訴えるなら好きにして構わないが、そんな下らないことで費用かけて訴えていったい何が得なのか。盗られた物があるのなら別だけど」と話しました。貧乏学生で3月には卒業、4月には新入社員になる身で、「こういうトラブルは避けないといけない」と相談した人たち全員に説得され、仕方なくそのままにしました。しかし、わたしにとっては嫌悪感だけが残ったものです

　その後、やはりというべきか管理業者が女性のアパートに侵入して暴行するという事件が起きました。起こるべくして起きた事件だと思えます。最近では管理業者に引渡された鍵を外して自前の鍵で用意し、退去する時に再び戻すという人もいると聞きます。

建売住宅

　結婚してしばらくすると自分の家を持ちたくなるものです。わたしも例外ではありませんでした。マンションは家内が嫌っていたので一戸建てを探したものです。しかし注文住宅は高価なので建売住宅を探していた時期がありました。

　仲介業者を転々として休日には業者の車で1日3〜4軒も回りましたが、その時にあることに気づきました。仲介業者によっては、事前に建主へ連絡せず勝手に顧客を連れてくるケースが少なからずあるのです。その際に業者はどうやってその家に入るのでしょうか。すると、水道メーターや郵便箱の中、マットの下などを2〜3カ所探すだけで、大抵は1分も待つことなく合鍵を見つけて住宅の中に案内していたのです。

　ここでもアパートを同じような危険があります。

• 新築住宅の鍵が「ここにある」と業者が知っているということは、購入後に鍵を変えないのであれば、業者や第三者がその鍵をコピーしていつでも侵入できてしまう
• 業者が管理している場合も、鍵の管理は極めて脆弱なケースが圧倒的に多い

　現在では、このようなずさんな管理をしているケースはほぼ無いと思われますが、わずか10年ほど前までは多数ありました。

引越し業者

　数年前に、ある掲示板サイトに紹介されたケースですが、新居に住む予定（賃貸でも持ち家でも）の場合は、引越し業者へ事前に鍵を渡して――家財の搬入中に現場で鍵を引き渡す場合も散見される――業者が合鍵を作成してから返すという内容でした。大きな事件を聞いたことはありませんが、十分に注意すべきことであるのは間違いないと思います。

配達物

　以前、ゴールデンウィークに多発する空き巣の対応策が新聞に掲載されていましたが、気になることがありました。それは、留守と悟られないよう新聞などの定期的な配達物は事前に連絡して、旅行から帰ったら纏めて受け取るようにすべきだというものでした。

　確かに有効な方法の一つですし、わたしの家内もそうしていると言います。しかし、以前発生した事件では配達人が犯人だったということがありました。配達人であればどこの家が留守なのか完全に把握できるので、その住宅だけを狙い撃ちしていたというのです。このような場合の防止策をいろいろと考えてみましたが名案がありません。疑えば切りがないのですが、例えば1週間程度なら宅配物を収納できるポストが一般に普及するのがいいのかもしれません

---

　今回は紹介したポイントは、「過剰だ」と受け取られる読者がいるかもしれません。しかし、その一方で「真剣に考えなくてはいけない」と感じた人もいると思います。セキュリティ対策では、過剰と思われる点でもきちんと対峙して、個人そして会社の防衛策を事前に検討・実現していただきたいと思います。

　特に会社の場合は、不特定多数の方が「仕事」という繋がりだけの関係である場合が少なくありません。防衛策も当然ながら、「外向けの防御」「内向けの防御」という2つの面で捉える必要があります。今回のテーマでは特に「内部犯罪抑止」としての対応が求められるものであり、その牽制手段として異動者や退職者のPCを定期的に調査するという方法があります。

　この調査だけであれば、PCを綿密に調べるオーダーメイド型のフォレンジック調査に比べコストがかからず、退職者が実際に犯行を起こすことで発生する顧客対応などのコストよりも安価であり、抑止効果もあります。従業員を信用しないとうことではなく、一部の「悪人」を排除するための「保険」と考えてみるといいでしょう。

過去のセキュリティニュース一覧はこちら

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから