「私、セキュリティ担当者! 監視ツールを覗いていたら、社員がものすごい頻度で不審なアダルトサイトを見ていることが分かっちゃったの!」
……だいぶ、いや、かなり考えたくない事態だ。しかし、クラウド会計ツールで知られるfreeeではこの問題が実際に起きたという。同社はどう対応したのか、12月6日公開のテックブログで紹介している。
ブログによれば、事態に気付いたのはセキュリティインシデントに対応する社内組織「CSIRT」のメンバー。監視ツールを確認していたところ、不審な通信が繰り返し発生していることに気付いた。
送信元を調べたところ、原因はある社員の端末。送信先はアダルトサイトだった。しかも、頻度が異常に高かったという。
とはいえ、さすがに会社の端末でアダルトサイトを見ているのはおかしい。違和感を抱いたCSIRTがより詳しく調査したところ、実際は社員がアダルトサイトを見ているわけではないことが分かった。経緯は不明なものの、アダルトサイトからブラウザへのプッシュ通知を誤って許可してしまっていたことが実際の原因だったという。
プッシュ通知の許可が、直接的に情報漏えいにつながる可能性は低い。一方で、偽の通知を表示され、不審なサイトに誘導される可能性はある。リスクに対応するには、設定を変更しなければいけないが──CSIRTはその権限がなく、社員に直接頼まなくてはならなかったという。そのときのやりとりが、以下の画像だ。
freeeではこのように和やかに済んでいるが、もし「アダルトサイトからの通知が登録されてるから削除して」とセキュリティ部門に伝えられたら、正直”社会的な死”を感じるだろう。もし同じ立場になったとき、あらぬ疑いをかけられないようにするには、ブラウザの設定に気を付けるのはもちろん、セキュリティ担当者にも正直に対応する方がよさそうだ。当然、社用端末でアダルトサイトは見ないこと。
関連記事
- 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは? - “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。 - 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - 無料の研修・プレゼン資料がどっさり freeeのテックブログが“神まとめ”になっていた
freeeのテックブログが“神まとめ”形式に。サイトUI変更の理由は? - 「クレデンシャルをSlackに書くな高校校歌」freeeが公開 なぜ作った
ああクレデンシャルをSlackに書くな高校、創設の歴史──。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.