iPodから情報漏えい、職場に持ち込むモバイル機器に注意せよ：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

ポータブルプレーヤーやスマートフォンなどの普及で、職場に個人のモバイル機器を持ち込む従業員が増えている。モバイル機器からの情報漏えいが懸念されるが、企業では対策やルールについて考えているだろうか。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらで読めます！

　ある日、データセンターの通用口でガードマンと保守作業を終えて退出しようとしていたカスタマーエンジニア（CE）が口論していたそうです。理由は、本来なら入室時に申告すべきだったiPodをCEがうっかりカバンの奥に入れたまま入室してしまい、退出時にガードマンが持ち物検査をして見つかったというものです。最近このようなトラブルを頻繁に耳にするようになりました。今回は、PC以外の情報機器における情報セキュリティの脅威と対策について考えてみましょう。

iPodから情報漏えい

　AppleのiPodが登場して間もないころ、米ACFE（米国公認不正検査士協会）はiPodが情報コピーに悪用される可能性がある大変危険な機器だとして、職場での不正使用に対する具体的に対応を検討すべきだと提言しました。しばらくして、「ポッドスラーピング（Podslurping）」という言葉が米国で流行しています。

　ポッドスラーピングは、小型の情報機器で機密情報を盗み出す行為であり、iPodでは某フリーツールを使用すれば、わずか2分で100Mバイトものファイルを取り込めるということも起きました。iPod自体が危険だということではありませんが、こうした動きによって企業は持ち運びができるあらゆる小型の情報機器を監視対象にすべきだというムードが高まったのです。

　本来、音楽などのアプリケーションを楽しむためのiPodやiPhoneがなぜ危険なのでしょうか。これらの機器に、「音楽」というデータだけを適正に取り込む場合は危険ではありません。しかし、これらの機器で上記のようなツールを利用すればあらゆるデータを取り込むことができてしまうため、危険な存在だとみられるようになりました。実際に米国では、以下のようなモバイル機器による情報漏えい事件が発生しています。

• ある製造業では昼休みの時間にPCへiPodが接続されていた。周囲の人は、「音楽をダウンロードしているのであろう」としか見てなかったが、実際には管理者権限でのみコピーできる重要なファイルを丸ごとiPodへコピーしていた
• デジタルカメラのmicroSDカードに数万人分もの重要な顧客名簿データコピーしていた従業員が逮捕された
• 携帯電話のメモリカードに会社の機密データを丸ごとコピーし、すぐに電子メールで社外の相手に送信していた。送信後すぐにメモリカードの中身を削除し、情報漏えいを隠ぺいした

　これらと類似したケースが多数報告されています。いずれも、一見しただけでは一般的な操作をしているようにしか見えないので、目前でも重要なデータを堂々とコピーできてしまうのです。特に日本では、こうしたケースによる情報漏えい事件の摘発例がわずかしかなく、企業の文化や啓蒙活動が十分に浸透していないといった状況から犯罪行為として立証するのが非常に難しくなっています。