ニュース
» 2015年06月05日 07時00分 公開

萩原栄幸の情報セキュリティ相談室:年金機構の情報漏えい、組織の問題点を探る (2/3)

[萩原栄幸,ITmedia]

怪しくないメールだから開く

 問題点2:情報処理推進機構(IPA)などセキュリティ機関は、よく「怪しいメールは開くな」と警告としているが、この言葉では極めてまずい。

 “怪しいメール”というは、実際には9割以上がアダルト系の内容で、日本語としておかしい表現だったり、途中の文字列に「.」や文字化けがあったりする。見た目からどう考えてもおかしいメールであるが、標的型攻撃メールのほとんどは“怪しくないメール”の形でくる。筆者も5、6年も前からセキュリティセミナーなどで伝えてきた。

 だます方はバカではない。いつまでも表現のおかしな日本語を送りつけることはしない。現在はどうみても友人やお得意先としか思えない形で忍び込んでくる。対策としてはきちんとメールの防御システムを構築するのは当然のこと、「メールの全てを疑え」「リンク先は使うな」「添付ファイルは自分の責任にならない様に内規で対応しろ」というほど強く警戒しないといけない(もちろん企業の状況でその扱いは異なる)。

2014年秋に発見された標的型メール(カスペルスキー提供

 問題点3:利便性を最優先に仕事をする人間は非常に危険である。企業は「守らないなら解雇する」という気概で情報セキュリティ教育を徹底し、対策システムを構築しないといけない。

 年金機構では一部の職員が利便性だけで年金データの一部をDVDなどでコピーし、自分のPCに移して仕事をしたり、ファイルサーバに複製したりしていたという。「Oh! My God!!」としか、言いようがない。

 筆者はこんなことをする人間の気持ちの0.1%は理解できるが、その感覚は戦前(70年前)までだ。どうしても自分の身勝手な都合で仕事をしたいなら、独立して自分の会社ですればいい。罪もなき納税者を巻き添えにするな、といいたい。自分の行為の結果がいかに怖いことかを本当に理解しているなら、絶対にしないはずである。

 マスコミでは55万件のデータがパスワードで保護されていなかったことを問題に挙げているが、一部職員の行動はそれ以前の問題だ。たとえパスワードで保護していようと、そもそも身勝手な行為が可能なサーバやPC自体が存在してはならない。年金機構が把握していないようなデータ作成を許してはいけないのだ。そんなことは新人でも理解できる。

 年金という、高齢者にとっては生きるための唯一の糧ともいえるものの情報が漏えいした。今後、年金を受給できなかったり、オレオレ詐欺の標的になったり、様々な被害が起きるだろう(起きないことを期待したいが)。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ