先日、少々気になるニュースがありました。岡山県のとある教育委員会あてに小学生児童の個人情報が入ったUSBメモリが郵送されてきたのです(参照リンク)。このUSBメモリは、小学校の先生が1年以上前に紛失したものでした。
送り主は「1住民」とだけ書かれていました。同封の手紙には「先日拾って、中身を確認したが、小学校のものではないか。個人情報を扱う先生として危機感が不足しているのではないか」という指摘が書き添えられていた(参照リンク)といいます。
USBメモリの取り扱い、普段から気を付けていますか?
USBメモリは大変便利なアイテムで、家電量販店に行くと大容量で実用的なビジネス向けモデルから、華やかなファッションアイテム的なモデルまで、数え切れないほど展示されています。
今でこそクラウド経由でのファイル送信が可能になりましたが、ほとんどの企業ではファイル交換サービスの利用を禁止していることでしょう。もちろんUSBメモリも表向きは禁止としているでしょうが、こちらはこっそりと使っている方も多いのではないでしょうか。
くだんの小学校教師も個人所有のUSBメモリに児童の名簿や成績などの個人情報を入れ、自宅に持ち帰って作業していたのでしょう。今回の事件でも、そうせざるを得なかった事情があるのかもしれません。ひょっとしたら、「USBメモリを使うな」というルールもあったのかもしれません。
今回は大きく報道もされました。おそらくこの小学校だけでなく、岡山県の教育委員会を通じてUSBメモリの利用ルールが厳格化されることでしょう。その場合、単純に「USBメモリを使用するな」という規制ではなく、「USBメモリを安全に利用するための仕組みを作る」ことに注力すべきかもしれません。
実は怖い、USBメモリ経由での「攻撃」
USBメモリを郵送してきた人物は、善意からの行動だったのでしょう。同封されていた指摘ももっともなことです。しかし、筆者が最も気になったのは「USBメモリが善意の第三者から送られてきた」ということです。少し視点を変えてみると、これは怖いことかもしれないのです。
今回、USBメモリは匿名で送付されています。また、添えられていた手紙には「児童の個人情報が含まれている」と書かれています。このような手段で送られてきた場合、教育委員会は投書を無視するわけにもいかず、USBメモリの中身を確認せざるを得ないでしょう。その中に例えば「児童名簿」という名前のエクセルファイルがあれば、それを開いてしまうことでしょう。
でも、それが本物の「児童名簿」かどうかは開いてみないと分かりません。昨今、特定の企業や団体、個人を狙い撃ちし、特別に作った悪意あるプログラムを送り込む「標的型攻撃」が注目されています。攻撃者はさまざまな手段を使ってプログラムを実行させようとします。しかも、攻撃したことを悟らせないように、本物の「児童名簿」を表示してターゲットを安心させる偽装工作もします。
今回は郵送でしたが、例えばその小学校に恨みを持つ人が、善人の顔をして「このUSBメモリ、校門のところに落ちていましたよ」と、ウイルス入りのUSBを持ち込んできたら……。果たして、このような攻撃をきっちりと防御できる学校や企業がどのくらいあるでしょうか。
知らない人からファイルが届いたら、どうすればいい?
今回の事例では、匿名で届いたUSBメモリの中身を確認する前に、警察などに相談するのが正しかったのかもしれません。このような話は、何もUSBメモリだけではありません。企業のサポート窓口では、不特定多数の利用者からメールが届きます。そのすべてに目を通さなくてはなりませんが、そこに悪意あるプログラムが届く可能性は非常に高いのです。
出所不明のファイルを処理せざるを得ない場合には、やはり徹底した「セキュリティ対策の実施」が必要でしょう。具体的にはセキュリティ対策ソフトの導入、OS、アプリケーションのアップデートが欠かせません。特に自治体では、まもなくサポート期間の切れるWindows XPしか存在しないというところもあるでしょう。そんな環境では、ネットワークにつながっていない隔離PCを1台用意して、そこでチェックするという方法も考えられます。
持ち主の分からないUSBメモリが落ちていた場合、「無視する」というのも有効な防御手段です。もしかしたら、悪意あるものが狙っているのはあなたかもしれないのです。
関連記事
- 「バッテリー節約」「高速化」——その無料アプリは安全ですか?
怪しげなアプリはインストールしない。当たり前のように思われることかもしれませんが、それでも悪質な「無料アプリ」にだまされる人が後を絶たないのです。 - ネット上にスマホの位置情報が自動的に記録されるのは便利? それとも恐怖?
Androidスマホが収集している位置情報をGoogleはどのように使っているのでしょうか? そのサービスの1つである「Google Location History」では自分の行動履歴が筒抜けになります。 - Webを見ただけでアプリが落ちてきた!? 笑えないスマホ時代の「ルーマニアのウイルス」
スマホでWebサイトを見ただけで、勝手に広告からアプリがダウンロードされるという事案が発生しました。このアプリ自体はウイルスではないということですが、改めてセキュリティの設定を確認しましょう。 - ウイルスが作られるのは「あなたのお金を盗むため」
なぜコンピュータウイルスが生まれるのでしょうか。結論から言うと悪意ある攻撃者が「あなたのお金を盗むため」です。 - 「スタバでWi-Fi」→Facebookが乗っ取られる!?
ドヤリングという言葉があります。スタバでMacbook Airを広げ、ドヤ顔で仕事することだとか。でも暗号化されていない無料Wi-Fiサービスを使っていると、通信内容がダダ漏れですよ!
Copyright© 2014 ITmedia, Inc. All Rights Reserved.
Facebookコメント