Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

漏洩事件で中途半端な「安全宣言」は逆効果

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/10/22号)」に掲載されたものです

昨今、個人情報漏洩事件が後を絶たない。パターンとしては、不正アクセスはもちろん、内部犯行による持ち出し、車上荒らしをはじめとする盗難などタイプもさまざまだ。

以前もコラムで取り上げたが、その中で目立つのは車上荒らしによる「紛失」だ。営業社員はパソコンや書類など、一定数以上の個人情報を持ち歩いている。車上荒らしといった事件に巻き込まれれば、単なる金品の盗難に終わらず、個人情報漏洩事件へ発展してしまう。

参考:車上荒らしから個人情報を守れ!
http://www.security-next.com/000678.html

漏洩事件に発展すれば、企業はプレスリリースや謝罪広告、お詫び状などにより、消費者に注意を呼びかけるわけだが、実際に目にして首を傾げたくなる発表内容も少なくない。

その発表内容とは「パスワードをかけているから漏洩の心配はない」といったコメントや「紛失したパソコンを無事回収しました。今後気をつけます」など、安易に事態が収束したかのように発表し、安全宣言を行っているものだ。

パスワードがあるから大丈夫?

コンピュータにパスワードを設定すること自体は良いことだ。もはやログインパスワードは、「常識」と言っても過言ではない。事件が発生した際、企業として対応していたことをアピールすることは悪いことではないし、最低限の対応を行っていたことは示せる。

しかし、だからといって「不正使用の可能性を否定する」ことは問題だ。少なくとも「暗号化」されていなければ、クラッカーにとって情報の吸い出すことは非常に容易だからだ。

ひと口にパスワードの設定といってもさまざまだ。BIOSのパスワードもあれば、ログインパスワードもあるし、顧客データベースソフトにおけるパスワードもあるだろう。それにパスワードに利用されている単語が、利用者の誕生日だったり氏名だったりすれば、パスワードの意味さえなさない。

ある程度の安全性を保証したいならば、暗号化されていることや、パスワードに予測が難しい言葉が設定されていること、その他強力なセキュリティソリューションを導入していることなどを具体的に示めすことだ。そうしてはじめて説得力が生まれる。

逆に、シンプルなパスワード機能が設定されていたに過ぎないのであれば、その事実を報告するにとどめ、根拠のない主観的な発表は避けるべきだろう。

回収されたパソコン

盗難事件発生後、まれに盗まれたパソコンなどが回収されることがある。このことで事件が収束したかのように表現するリリースを目にすることも多い。

実際にどういう意図で犯人がパソコンを手放したのかわからない。たしかに金品以外に興味がなく、邪魔になって破棄するケースもあるだろう。一方、内部情報をコピーし、興味がなかったと見せかける「ダミー」の可能性も否定できない。

というのも、詐欺などを行っている反社会的組織では、「漏洩元を悟られる」ことを嫌うからだ。漏洩元がわかれば、顧客からクレームが入り、漏洩してしまった企業は、顧客に対して注意を促さざるえない。そうなれば、詐欺の成功率が下がってしまう。だからこそ、ハードウェアという「ダミー」を回収させ、事態が収束したとイメージづけようとする詐欺集団の演出の可能性もあり得るのだ。

情報はコピーが容易であるということを忘れてはならない。ハードウェアが回収されたからといって、漏洩した情報を回収できたことにはならない。少なくとも一度、犯罪によって他人の手に渡れば、内部がコピーされていてもおかしくない。

車上荒らしに限った話ではないが、漏洩した情報の回収は非常に難しいことなのだ。実際、ファイル交換ソフトなどで流出した個人情報は、削除できず多数出回っており、今でもコピーされ続けている。元本が手元に戻ったところで、コピーを制御できるわけではないのだ。

「企業にできること」を考える

繰り返しとなるが、「パスワードをかけていた」「紛失したパソコンを回収した」といった事実を逐次発表することは必要だ。しかし、中途半端な対策に「安全」を宣言することは避けるべきだ。

客観的な事実に基づかない安全宣言は、「情報セキュリティへの知識不足」や「セキュリティ管理のずさんさ」を逆に露呈することにもなる。さらに、二次被害が発生すれば、誤った情報を流したとして、一層深刻なダメージを負うだろう。

事態収束をスムーズに実現したいのであれば、第三者の力を借りるのもひとつの手だ。セキュリティやリスク管理を専門に扱うコンサルタントは、常日頃から同様の危機に直面し、解決している。顧客や株主対応はもちろん、マスコミ発表など、ちょっとしたミスも許されない重要なシーンで大いに助けとなるはずだ。

また、顧客に対する説明責任だけでなく、今後の業務改善など、「顧客から一度失った信頼を取り戻す」という企業にとって最も大切なプロセスについてもノウハウを持っている。活用しない手はない。

過度に安全をアピールしている企業は、「イメージダウンを防ぎたい」「顧客の信頼を取り戻したい」という気持ちが空回しているように思う。しかし付け焼き刃的な対応を行えば、さらに企業を危険な状況へ追い込むことになりかねない。局所的な対応ではなく、顧客の信頼を取り戻す抜本的な対応が求められている。

(Security NEXT - 2004/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年度のEDR運用サービス市場は3.5億円 - 2022年には50億円規模に
学生や教職員の個人情報含むPCを紛失 - 北海道科学大
パスワードリスト攻撃の事前スクリーニング、大胆なその手口
児童や保護者、通報者情報など含む児童虐待関連資料を一時紛失 - 滋賀県
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
就職支援サイトのシステムに不具合、別人にメール送信 - 長崎県
AIに関する課題、「理解不足」が約7割 - 導入効果への不安も
「MUFGカード」装うフィッシング - 「持続する」ボタンに短縮URL
主要50脆弱性、34%は開示日にエクスプロイトが公開 - 76%で攻撃者が防御側を先行
「Winny」などのファイル共有ソフト、GWに約9万人が使用