壁に耳あり 急成長企業の情報漏えい騒動記：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

PLCに抜け穴？

　PLCは、2006年末ごろに市場に出回りはじめた当時は1つの方式しかなかったが、今では幾つかの種類が混在しており、互換性は全くない。A社のPLC機器は、同社の設立した2007年春ごろに購入した最初の世代のモデルであるようだ。記憶によると、暗号にはAES方式がデフォルトで設定されているのだが、もし情報漏えいが内部の人間によるものであれば、どんな方式でも意味はない。A社がトラブル対応のためにマニュアルに暗号キーが掲載されていたが、その危険性は無線LANと同様であり、暗号キーを変更して、マニュアルに記載することもやめていただいた。

　このような基本的な対応をしていく中、ふと、未使用となっているフロアの隣のスペースが気になった。経営者によれば、盗まれるものが何も無いとの理由でこのスペースには施錠していなかったのだが、明らかに最近まで誰かがそこにいた形跡を見つけたと言う。

　筆者も現場に行ってみた。確かにその形跡があったのだ。コンセントの1つがホコリも無くキレイになっている。その近くの床は人間が座っていたのか、キレイになっていた。そこで、調査に立ち会ったビルのオーナーにも問い合わせてみた。

筆者　このフロアの半分は使われていないので、電源も通っていないはずですよね

オーナー　いや、実はここのビルは古くで、1つのフロアには分電盤が1つしかありません。よって、A社さんが使用しているフロア全体に通電していますよ

　これを聞いた筆者は、A社のオフィスからPCとPLCの子機を持ち出して、未使用となっているスペースの誰かが使用したとみられるコンセントにつなげてみた。すると、すぐにインターネットに接続でき、PLC経由で社内のほかのPCも認識できた。聞くまでもなく、PLC機器の管理もきちんと行われておらず、数十台のPCが接続されているという。そこではファイル共有もしていたらしい。この状況から、どうやらPLC経由で情報が盗まれていた可能性が高いと考えられた。

　ここで暗号キーを再設定するとともに、暗号キーとPLC機器の管理の再徹底するように念を押した。

---

　成長著しい企業においては、いい意味で“想定外の急成長”の結果から、どうしても地味になりがちな管理が疎かになってしまいがちである。また、当初に通用していた管理手法やセキュリティ管理が、そのうちに通用しなくなってしまう。それにも関わらず、昔と同じまま運用をされているところも少なくない。

　A社の案件は、幸いにも情報漏えいによる風評被害などを含めても、あまり大きな被害となる事件ではなかった。そうなる前に管理体制を見直すことができて良いケースだった。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。