Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

漏洩事件で中途半端な「安全宣言」は逆効果

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/10/22号)」に掲載されたものです

昨今、個人情報漏洩事件が後を絶たない。パターンとしては、不正アクセスはもちろん、内部犯行による持ち出し、車上荒らしをはじめとする盗難などタイプもさまざまだ。

以前もコラムで取り上げたが、その中で目立つのは車上荒らしによる「紛失」だ。営業社員はパソコンや書類など、一定数以上の個人情報を持ち歩いている。車上荒らしといった事件に巻き込まれれば、単なる金品の盗難に終わらず、個人情報漏洩事件へ発展してしまう。

参考:車上荒らしから個人情報を守れ!
http://www.security-next.com/000678.html

漏洩事件に発展すれば、企業はプレスリリースや謝罪広告、お詫び状などにより、消費者に注意を呼びかけるわけだが、実際に目にして首を傾げたくなる発表内容も少なくない。

その発表内容とは「パスワードをかけているから漏洩の心配はない」といったコメントや「紛失したパソコンを無事回収しました。今後気をつけます」など、安易に事態が収束したかのように発表し、安全宣言を行っているものだ。

パスワードがあるから大丈夫?

コンピュータにパスワードを設定すること自体は良いことだ。もはやログインパスワードは、「常識」と言っても過言ではない。事件が発生した際、企業として対応していたことをアピールすることは悪いことではないし、最低限の対応を行っていたことは示せる。

しかし、だからといって「不正使用の可能性を否定する」ことは問題だ。少なくとも「暗号化」されていなければ、クラッカーにとって情報の吸い出すことは非常に容易だからだ。

ひと口にパスワードの設定といってもさまざまだ。BIOSのパスワードもあれば、ログインパスワードもあるし、顧客データベースソフトにおけるパスワードもあるだろう。それにパスワードに利用されている単語が、利用者の誕生日だったり氏名だったりすれば、パスワードの意味さえなさない。

ある程度の安全性を保証したいならば、暗号化されていることや、パスワードに予測が難しい言葉が設定されていること、その他強力なセキュリティソリューションを導入していることなどを具体的に示めすことだ。そうしてはじめて説得力が生まれる。

逆に、シンプルなパスワード機能が設定されていたに過ぎないのであれば、その事実を報告するにとどめ、根拠のない主観的な発表は避けるべきだろう。

回収されたパソコン

盗難事件発生後、まれに盗まれたパソコンなどが回収されることがある。このことで事件が収束したかのように表現するリリースを目にすることも多い。

実際にどういう意図で犯人がパソコンを手放したのかわからない。たしかに金品以外に興味がなく、邪魔になって破棄するケースもあるだろう。一方、内部情報をコピーし、興味がなかったと見せかける「ダミー」の可能性も否定できない。

というのも、詐欺などを行っている反社会的組織では、「漏洩元を悟られる」ことを嫌うからだ。漏洩元がわかれば、顧客からクレームが入り、漏洩してしまった企業は、顧客に対して注意を促さざるえない。そうなれば、詐欺の成功率が下がってしまう。だからこそ、ハードウェアという「ダミー」を回収させ、事態が収束したとイメージづけようとする詐欺集団の演出の可能性もあり得るのだ。

情報はコピーが容易であるということを忘れてはならない。ハードウェアが回収されたからといって、漏洩した情報を回収できたことにはならない。少なくとも一度、犯罪によって他人の手に渡れば、内部がコピーされていてもおかしくない。

車上荒らしに限った話ではないが、漏洩した情報の回収は非常に難しいことなのだ。実際、ファイル交換ソフトなどで流出した個人情報は、削除できず多数出回っており、今でもコピーされ続けている。元本が手元に戻ったところで、コピーを制御できるわけではないのだ。

「企業にできること」を考える

繰り返しとなるが、「パスワードをかけていた」「紛失したパソコンを回収した」といった事実を逐次発表することは必要だ。しかし、中途半端な対策に「安全」を宣言することは避けるべきだ。

客観的な事実に基づかない安全宣言は、「情報セキュリティへの知識不足」や「セキュリティ管理のずさんさ」を逆に露呈することにもなる。さらに、二次被害が発生すれば、誤った情報を流したとして、一層深刻なダメージを負うだろう。

事態収束をスムーズに実現したいのであれば、第三者の力を借りるのもひとつの手だ。セキュリティやリスク管理を専門に扱うコンサルタントは、常日頃から同様の危機に直面し、解決している。顧客や株主対応はもちろん、マスコミ発表など、ちょっとしたミスも許されない重要なシーンで大いに助けとなるはずだ。

また、顧客に対する説明責任だけでなく、今後の業務改善など、「顧客から一度失った信頼を取り戻す」という企業にとって最も大切なプロセスについてもノウハウを持っている。活用しない手はない。

過度に安全をアピールしている企業は、「イメージダウンを防ぎたい」「顧客の信頼を取り戻したい」という気持ちが空回しているように思う。しかし付け焼き刃的な対応を行えば、さらに企業を危険な状況へ追い込むことになりかねない。局所的な対応ではなく、顧客の信頼を取り戻す抜本的な対応が求められている。

(Security NEXT - 2004/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

資源エネルギー庁の公開会議資料に入札情報 - PDFに表計算ファイル添付
過去1年に1.5%がクレカの不正利用被害を経験 - 平均被害額は3万8733円
抜け漏れないウェブのセキュリティ対策を - IPAがポイント20カ条
「WordPress」に複数脆弱性、「同5.0.1」がリリース - 旧版向け更新も
「会員料金未納」と不安あおる偽メールに注意 - セブン&アイHDになりすまし
エフセキュア、セキュリティゲートウェイに新版 - HTTPS検査に対応
ダム放流のお知らせメールを誤送信 - 新潟県
偽「ヤマト運輸」の不在通知SMSが流通 - 他事業者でも警戒を
日立IAのeラーニングサービスに不正アクセス - コインマイナー埋込
MS月例パッチ修正の脆弱性、複数APTグループがゼロデイ攻撃に悪用か