新人必見! 知ってる人もあらためておさらい! 情報セキュリティについて知っておきたいこと(その2)ハギーのデジタル道しるべ(1/2 ページ)

企業や組織に所属し、情報を扱うようになった人たちは、あらためて情報セキュリティについての認識を確認してもらいたい。個人ではたいしたことではなかったり、善意で対応したりしたことが、企業にとっては大きな問題になることもあるのだ。

» 2017年04月25日 08時00分 公開
[萩原栄幸ITmedia]

 日常生活の中にも、情報セキュリティ上気を付けなくてはいけないこと、注意すべきことはたくさんある。普段何気なくしている行動が、情報漏えいにつながることだってあるのだ。特に社会人になりたての人は、この記事を読んで、あらためて自分の行動を振り返ってみてほしい。

 前回は、基本的な注意点を5つ紹介した。今回は、プライベートではそれほど悪いことではなかったことが、企業内ではリスクになり得るというケースに注目してみたい。

6.スマホもウイルス対策アプリをインストールしておけば安全、ではない

スマートフォン

 一般的にBYOD(私物スマホの業務利用)は無論の事、プライベートでの利用でも、極めて重要な事実がある。スマホ(特にAndroid)において、ウイルス対策アプリはほとんど役に立たない、ということだ。PCのようにウイルス対策アプリを入れておけば大丈夫、と思っている人は多いかもしれないが、全くそういう事にはならない。特にAndroidについては、市販のウイルス対策アプリも、通信事業者が推奨するアプリも、PCと比べるとできることが少ない。

 この事実を記事にした2011年、筆者のところには世界中からメールが届いたが、状況は現在も変わっていない。Androidは、GoogleがLinuxをベースにサンドボックスの仕組みを取り入れ開発したOSだ。とても良いOSだが、弱点もいくつかある。その1つに、このOSの中で動くアプリは、Googleが持つ管理者権限以外で動くものはとても制約が強い、ということ。詳しく知りたい人は、以前掲載した記事(ホント? PC並みには期待できないAndroidのウイルス対策アプリ:2012年07月13日)などを参考にしていただきたいが、要するに、例えウイルス対策アプリのメーカーといえども、一般権限の範囲内でしかアプリを実行できないということだ。

 以前、スマホ向けウイルス対策ソフトのパッケージを見たところ、「監視が出来る」「リアルタイムスキャンが可能」などと書いてあったが、これは出来ないはずなのだ(仮に実行できるようになっていた場合、すでに感染しているのでほとんど意味はない)。本来、スマホアプリでPCと同じように不審なアプリを監視しようと思ったら、そのアプリは正しい仕様にのっとっていない、ルート化や脱獄(Jailbreak)などといわれている不正行為(これを不正でないという人もいるが、明らかに利用者の権限を逸脱した行為)を行い、管理者権限を取得する必要がある。パッケージの記載は詳細を読めば「疑似的にその様な挙動を示すだけ」という意味だった。この状況は今でも変わっていない。

 結局のところ、AndroidにはGoogle自身がウイルス対策アプリを実装する必要があったわけだ。Googleは当初「Androidにウイルス対策は不要」というスタンスだったが、2012年に、Android 4.2で「不正アプリ検出サービス」をスタートさせた。残念ながら、その時の検出率は、ノースカロライナ州立大学で追試をした結果15%程度だったが、それから5年が経過しているので、検出率は高くなっているはずだ。その後VirusTotalを買収しているので、数字は改善していると想定できるが、安心と言えるかどうかは分からない。

 Androidを使うなら、最も賢いのは以下の通り行動することだ。

  • 不正なサイトに近づかない(変なアプリをインストールしない、リンク先には飛ばない)
  • メールの内容に注意して被害者にならないようにする(添付ファイルやリンクに注意)

 iOSは、以前はソースコードを公開していなかったため、マルウェアはあっても限定的だった。しかしそれも2016年にOSカーネルやSafariブラウザの脆弱(ぜいじゃく)性を突く「Pegasus」という攻撃ツールが登場したことで、状況は一変している。iOSも常に最新バージョンにアップデートして使用し、Androidと同じように注意をする必要がある。

 この辺はもう少し突っ込みたいのだが、誌面の関係もあるで今回はここまでにしておこう。

7.業務とプライベートで同じパスワードを使い回してはいけない

パスワード

 業務システムにログインするために必要なパスワードと、プライベートなパスワードを同じにする(流用する)のは絶対に止めるべきだ。本来は、パスワードの使い回し自体が非常に高いリスクを生むが、業務用システムのパスワードが自分のせいで流出するようなことになったら大変だ。

 実際、こんな事件があった。ある企業で、入社したばかりの新人が、会社の人事システムにアクセスするパスワードを「業務でも使用するパスワードだからそらで覚えているし、任意の文字列を組み合わせた強固なパスワードなので他でも使おう」と考え、ECサイトなどにログインする複数のアカウントのパスワードにも設定した。その後、あるECサイトから会員情報が漏えいする事故があり、「パスワード変更など必要な措置をしてほしい」というメールが届いたが、面倒なので放置していたという。すると約半年後、自社の人事情報が盗まれるという事故が起きた。ログを分析した結果、この新人のIDから人事システムに侵入されたことが判明したのである。

 犯人は比較的ぜい弱な小規模の通販サイトを狙い撃ちして侵入し、この新人の個人情報を入手した。そしてこのパスワードを利用して、別のサイトやネットバンキング、そして勤務先のネットワークにまで侵入してしまったという訳である。

 使い回されているパスワードを悪用して攻撃することを「リスト攻撃」という。この新人はそこまでの思慮が足りなかったということだ。くれぐれも注意してほしい。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.