社会人としてのインターネット利用心得 後編「ソーシャルサービスの危険」


サイバー攻撃は、必ずしも機密情報を管理している部署の社員だけをターゲットにしているわけではありません。むしろ、セキュリティ意識の低い一般社員を攻略し、そのPCを踏み台として社内のサーバやより高い権限を持つユーザ(のPC)を狙います。社会人としてインターネットやパソコンを利用する際に、留意すべき事柄を紹介しています。

N912_sorawomiageruhitujisan500

 

SNSの危険性

ブログやTwitter、Facebookなどのソーシャルメディアを日記代わりに使っている人がいます。本人はプライベートな情報を友人などのごく一部の限られた人に見せているだけの気軽な気持ちで利用しているのでしょうが、ソーシャルメディアに何かを載せることは「世界中に公開している」のとほぼ同じです。また、たとえ本名を含めた固有名詞を出さなくても、そこに記された周辺情報を過去にさかのぼって集めれば、どこの会社でどのような仕事をしている人間か、ある程度推測できてしまうのです。

実際に、このような形で「セキュリティ意識の低い社員」を見つけ出し、ネット上で「友人」として接近、親しくなる中で徐々に会社の情報や個人のプライバシー情報を聞き出し、その情報をもとに攻撃が行なわれた事例は多々あります。よくある事例としては、パスワード再発行手続きに使われることの多い「秘密の質問」の答えが知られてしまったためにアカウントが乗っ取られ、本人になりすまされてしまったケースは枚挙にいとまがありません。また、なりすましによる嘘の情報発信で会社を巻き込む「炎上」事件が起きたケースもあります。

さらに、ソーシャルメディアの機能である「○○なう」のようなもので居場所が特定できてしまうと、その居場所の情報から個人情報(住所や勤務先など)が分かってしまうだけでなく、例えば、企業が秘密裏に進めている契約の相手先に関する情報が漏れてしまう可能性もあり、実際に競合他社に知られてしまった事例もあります。

このように、ソーシャルメディアに何かを記す場合は、「これくらいなら大丈夫だろう」という意識を捨て、「誰が見ているか分からない、何が悪用されるか分からない」という危機意識を持ち、会社の業務に関わることについては一切触れないように徹底するとともに、位置情報などが漏れないように設定する必要があるのです。

即通報

会社の持ち出し用PCやデータを収めたUSBメモリなど、機密情報が含まれる、または機密情報にアクセスできる可能性のあるものを紛失した場合には、すぐに上長や担当者に連絡しなければなりません。また、そのような不測の事態に備え、持ち出すものに含まれる情報・データが何であるかをあらかじめ詳細に把握しておくことが、その後の対応を進める上で重要となります。

Copyright (C) 1998-2014 IID, Inc. All rights reserved.