"BOKU"のITな日常

還暦越えの文系システムエンジニアの”BOKU”は新しいことが大好きです。

会社最強の「隠れセキュリティホール」は「偉い人」です(笑)

マルウエアとか攻撃手法とか、テクノロジー的にセキュリティホールのことを考えてて、ふと気づくと、最強の隠れセキュリティホールがリアル社会にいるのを思い出した・・というような話です。

f:id:arakan_no_boku:20190417223259j:plain



 

それいけ!社外秘・・に爆笑してしまいました

 

思い出したキッカケは、昼休みに何気に見ていたページに表示されたサイボウズ「Garoon」の広告です。

この一コママンガが、個人的に、結構うけました(爆笑)。

f:id:arakan_no_boku:20190417224518j:plain

こちらでダウンロードできるPDFに載ってます。

garoon.cybozu.co.jp

あるある・・なんて言うと大問題なんですけどね。

いちおう、名誉のためにつけくわえると、自分ではやったことありません。

でも、やらかした人間に同行したり、責任者連れてこいと呼び出されて罵倒されたり・・という経験は一度や二度ではすまないです(笑)。

確かに、やらかして報告に来たヤツは、こんな表情してたよな・・と思い出すと、不謹慎ながら笑えてきます。

それで思い出したのが、そういえば、セキュリティインシデントの原因の上位には常に「従業員」ってのがあったよなあ・・ということです。

 

若い人のミスは「しくじり」なんですが

 

従業員・・って聞くと、何となく若い人が原因の中心みたいなイメージがあります。

まあ、確かに。

SNSとかに慣れきっていて、会社の状況とかをTwitterFacebookなどに挙げてしまったり、社内メールで公私混同したりとかみたいな事故の原因は、若い世代が多いです。

前に「それいけ、社外秘」の一コマ漫画に「あるある・・」みたいに書いてましたけど、実際の経験としては、「それいけ!悪口!」の方が圧倒的に多いです。

たとえば。

仲間内でお客さんの担当者の悪口をやりとりしてたメールを、その担当者本人宛てに送信してしまった・・とか・・ですかね。

実のところ、社外秘なんかより、謝りに行く身としては「悪口」の方がキツイです。

部下にそれをされると、かなり悲惨・・、ではあります。

でも、それは「しくじり」なんですよね。

タイトルに書いたような「隠れセキュリティホール」って感じはしません。

個人的、かつ、経験的に言うならば・・ですが。

セキュリティホールは、いつも「自分より偉い人(笑)」だった気がします。

 

自分が見聞きしたセキュリティの弱点っぽい偉い人の行動

 

個人的な印象かもしれませんが。

偉い人には、システムの話が苦手な人が多かった印象が強いです。

でも、立場上、社内で最高レベルのアクセス権限を与えないといけない。

この2つが組み合わさるだけで、システムセキュリティの弱点になりうる資質は十分ですよね。

そんな方たちについて、個人的に見聞きした気になる行動パターンを、つらつら書いて、最後に何でそれが危険なのかをまとめてみます。

 

添付ファイルやリンクを安易にクリックしてしまいがち

 

偉い人は1日に来るメールの量も多く、社内の顔も知らない人間からメールも来ます。

立場上、内容も確認せず削除することに抵抗があるのも間違いないです。

クリックしたり、開いたくらいで何か問題が発生する可能性があるという理由がプログラミング経験のない方には理解しずらいだろうな・・というのもわかります。

だから、なりすましメールに騙される可能性が多い・・というのは間違いないですが、それでも、もう少し慎重にクリックしてほしいなあと思うことは多かったです。

実際。

偉い人のパソコンから、社内にコンピュータウィルスが広がって大騒ぎしたんだよな・・なんて話は、複数回聞いたことがありますしね。

 

引き出しのパスワードのメモを電話で読ませる! 

 

さすがに、ポストイットに書いてパソコンに貼ってはいません。

でも、メモに書いて引き出しにいれている偉い人はいるみたいです。

まあ。

引き出しに鍵がかかるなら、それ自体はぎりぎりOKです。

でも、出張先等から電話をかけてきて「ログインパスワードを忘れた。引き出しにメモがはいっているから、お前それを見て読んでくれ。」なんて依頼してくる人がいるという話を聞くと・・ちょっと困ったものです。

 

何でもかんでも紙に印刷して持ち歩く

 

紙の大好きな「偉い人」は結構います。

年配の方に多いです。

資料はとにかく印刷して読まないと頭がはいらないとか言われます。

それは良いのですけど。

せっかく、資料データにアクセス制限をかけても、それを印刷して持ち歩き、会議室においたまま喫煙室で煙草を吸ったりされると・・ハラハラします。

当然、不要になった時の破棄の仕方とかも気になりますしね。

 

ソーシャルエンジニアリング

 

上記にあげた行動だけを見ると、そんなに大ごとではないように見えます。

まあ、ウイルスに感染は困りますけど。

でも。

実はセキュリティ的には大ごとなんです。

その行動だけで、「隠れセキュリティホール」と呼ばれても仕方ないくらい。

何故か?

キーワードは「ソーシャルエンジニアリング」です。

人間の心理の隙につけ込み、個人情報や機密情報を詐取する手法のことです。

具体的な手口の例で言えば。

  • 電話でシステム管理者になりすましてパスワードを聞き出す
  • 警察を名乗り個人情報を聞き出す
  • メールの文面でだます
  • 廃棄された紙ごみから機密情報を探る

などなど・・どちらかと言えば泥臭い手法です。

でも。

実際に行われたハッキング事件では、驚くほど、この泥臭い「ソーシャルハッキング」が使われています。

実在した伝説のハッカーケビン・ミトニック氏が

企業システムにはさまざまなセキュリティソリューションが導入されているが、本当に対策を施すべき対象はユーザーである

というくらいに。

news.mynavi.jp

もう少し引用してみます。

一般ユーザーにパスワードを教えてもらう実験を行ったときの結果を紹介。

ペンを報酬にしてお願いしたところほぼ90%のユーザーがパスワードを教え、翌年、チョコレートに報酬を変えても70%のユーザーが教えてくれた

 とか

「ゴミは犯罪者には宝の山」と表現した。

「漁る際には、なるべく小さな袋を狙う」とポイントを挙げ、「小さく千切られていたら、それこそ怪しい。

コーヒーショップで復元作業をよくやっていた」

 とか。

あと、総務省のページをみると

www.soumu.go.jp

こちらにはこういう記述もあります。

電話を利用したソーシャルエンジニアリングは、昔からある代表的な方法です。

何らかの方法でユーザ名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。

また、逆に管理者になりすまして、直接利用者にパスワードを確認するといったこともあります。

これらを読むと、上記の「偉い人」の行動がいかに危険かわかりますよね。

怪しいメールの添付ファイルやリンクをクリックするのは論外としても。

  • 電話でパスワードを聞く「偉い人」がいる。
  • 社外秘の書類まで印刷して、使い終わったら他の書類といっしょに廃棄する。

こういう事を上の人がやっている会社は、ソーシャルエンジニアリングを得意とする犯罪者からみれば「ぽっかりとセキュリティに穴があいた状態」に見えるはずです。

偉い人のやることは、「会社の文化」になりますから。

偉い人の隙は「会社の隙」になってしまうのです。

だから。

本当なら部下が「そこまでやらなくても」と思うくらい、注意深い行動をとって、たぶんセキュリティ的には丁度くらいじゃないかな・・と、個人的には思います。

それができないなら。

その偉い人は「最強の隠れセキュリティホール」になってしまってる。

本人がどう思おうと、犯罪者から見ればそうなんだ・・ということは、意識しないといけないと思うわけなのですよ。

ではでは。