Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

漏洩事件で中途半端な「安全宣言」は逆効果

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/10/22号)」に掲載されたものです

昨今、個人情報漏洩事件が後を絶たない。パターンとしては、不正アクセスはもちろん、内部犯行による持ち出し、車上荒らしをはじめとする盗難などタイプもさまざまだ。

以前もコラムで取り上げたが、その中で目立つのは車上荒らしによる「紛失」だ。営業社員はパソコンや書類など、一定数以上の個人情報を持ち歩いている。車上荒らしといった事件に巻き込まれれば、単なる金品の盗難に終わらず、個人情報漏洩事件へ発展してしまう。

参考:車上荒らしから個人情報を守れ!
http://www.security-next.com/000678.html

漏洩事件に発展すれば、企業はプレスリリースや謝罪広告、お詫び状などにより、消費者に注意を呼びかけるわけだが、実際に目にして首を傾げたくなる発表内容も少なくない。

その発表内容とは「パスワードをかけているから漏洩の心配はない」といったコメントや「紛失したパソコンを無事回収しました。今後気をつけます」など、安易に事態が収束したかのように発表し、安全宣言を行っているものだ。

パスワードがあるから大丈夫?

コンピュータにパスワードを設定すること自体は良いことだ。もはやログインパスワードは、「常識」と言っても過言ではない。事件が発生した際、企業として対応していたことをアピールすることは悪いことではないし、最低限の対応を行っていたことは示せる。

しかし、だからといって「不正使用の可能性を否定する」ことは問題だ。少なくとも「暗号化」されていなければ、クラッカーにとって情報の吸い出すことは非常に容易だからだ。

ひと口にパスワードの設定といってもさまざまだ。BIOSのパスワードもあれば、ログインパスワードもあるし、顧客データベースソフトにおけるパスワードもあるだろう。それにパスワードに利用されている単語が、利用者の誕生日だったり氏名だったりすれば、パスワードの意味さえなさない。

ある程度の安全性を保証したいならば、暗号化されていることや、パスワードに予測が難しい言葉が設定されていること、その他強力なセキュリティソリューションを導入していることなどを具体的に示めすことだ。そうしてはじめて説得力が生まれる。

逆に、シンプルなパスワード機能が設定されていたに過ぎないのであれば、その事実を報告するにとどめ、根拠のない主観的な発表は避けるべきだろう。

回収されたパソコン

盗難事件発生後、まれに盗まれたパソコンなどが回収されることがある。このことで事件が収束したかのように表現するリリースを目にすることも多い。

実際にどういう意図で犯人がパソコンを手放したのかわからない。たしかに金品以外に興味がなく、邪魔になって破棄するケースもあるだろう。一方、内部情報をコピーし、興味がなかったと見せかける「ダミー」の可能性も否定できない。

というのも、詐欺などを行っている反社会的組織では、「漏洩元を悟られる」ことを嫌うからだ。漏洩元がわかれば、顧客からクレームが入り、漏洩してしまった企業は、顧客に対して注意を促さざるえない。そうなれば、詐欺の成功率が下がってしまう。だからこそ、ハードウェアという「ダミー」を回収させ、事態が収束したとイメージづけようとする詐欺集団の演出の可能性もあり得るのだ。

情報はコピーが容易であるということを忘れてはならない。ハードウェアが回収されたからといって、漏洩した情報を回収できたことにはならない。少なくとも一度、犯罪によって他人の手に渡れば、内部がコピーされていてもおかしくない。

車上荒らしに限った話ではないが、漏洩した情報の回収は非常に難しいことなのだ。実際、ファイル交換ソフトなどで流出した個人情報は、削除できず多数出回っており、今でもコピーされ続けている。元本が手元に戻ったところで、コピーを制御できるわけではないのだ。

「企業にできること」を考える

繰り返しとなるが、「パスワードをかけていた」「紛失したパソコンを回収した」といった事実を逐次発表することは必要だ。しかし、中途半端な対策に「安全」を宣言することは避けるべきだ。

客観的な事実に基づかない安全宣言は、「情報セキュリティへの知識不足」や「セキュリティ管理のずさんさ」を逆に露呈することにもなる。さらに、二次被害が発生すれば、誤った情報を流したとして、一層深刻なダメージを負うだろう。

事態収束をスムーズに実現したいのであれば、第三者の力を借りるのもひとつの手だ。セキュリティやリスク管理を専門に扱うコンサルタントは、常日頃から同様の危機に直面し、解決している。顧客や株主対応はもちろん、マスコミ発表など、ちょっとしたミスも許されない重要なシーンで大いに助けとなるはずだ。

また、顧客に対する説明責任だけでなく、今後の業務改善など、「顧客から一度失った信頼を取り戻す」という企業にとって最も大切なプロセスについてもノウハウを持っている。活用しない手はない。

過度に安全をアピールしている企業は、「イメージダウンを防ぎたい」「顧客の信頼を取り戻したい」という気持ちが空回しているように思う。しかし付け焼き刃的な対応を行えば、さらに企業を危険な状況へ追い込むことになりかねない。局所的な対応ではなく、顧客の信頼を取り戻す抜本的な対応が求められている。

(Security NEXT - 2004/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
Apple、「iOS」「iPadOS」のアップデートで脆弱性1件を修正
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
認定農業者に調査票を誤送付、名簿の宛名と住所にずれ - 三重県
海外グループ会社の元従業員が個人情報を不正持出 - クラレ
個人情報や生産データが流出した可能性 - JVCケンウッド
JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町