Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【税理士×Security NEXT】マイナンバーを扱う現場の課題とセキュリティ対策 第3回危険ととなり合わせ、企業はマイナンバーをどう守ればいい?

マイナンバー取扱用に別のパソコンを用意する

20160210_sn_002.jpg
最近は安全そうに見えるウェブも危険なんです(武山)

武山:パソコンを別途用意できると良いですね。マイナンバーを扱うパソコンと、日常的に使用するパソコンを別に分けるのです。

というのも、日常的に使うパソコンは、メールを送受信したり、ウェブサイトへアクセスしたりするでしょう。昔は、「不審なメールは開かない」「怪しいサイトにはアクセスしない」と言われていましたが、今ではもはや通用しません。

登坂:年金機構の事件も、メールがきっかけになったと聞いています。

武山:標的型攻撃として注目を集めました。こうした巧妙な攻撃は、一般的な問い合わせメールのようなやりとりから始まりまることもあります。

ターゲットに対して普通のメールを何通かやり取りした後に、マルウェア付きの添付ファイルを送り、相手を感染させます。

そのマルウェアを使って、ターゲットとなった組織内部のパソコンをコントロールして情報を盗みだすのです。きわめて巧妙な手口なので、やり取りしているメールから「何かおかしい」と気が付くことは難しいケースも多々あります。

マルウェアそのものも悪質になっています。昔は愉快犯が中心で、感染させられると画面がおかしくなり、利用者も異常に気が付きました。

しかし最近の標的型攻撃の場合は、機密情報の入手など明確な目的があります。侵入に気が付かれたら対策を講じられ、それ以降は情報を盗みだせなくなってしまうので、感染に気が付かれないように作っています。

登坂:普通に使っているなら、情報が盗まれていることに気が付かないかもしれませんね。

武山:さらに「水飲み場攻撃」というものもあります。これは、ターゲットとされた組織や企業がよく利用するだろうウェブサイトを改ざんして、マルウェアを組み込んでおくというものです。そして、ターゲットがアクセスした場合に限り、脆弱性を攻撃して、パソコンに感染させるのです。

この場合は、ターゲットではない企業のパソコンがアクセスしてもマルウェアに感染せず、見つけるのも容易ではありません。しかも、誰でも知っている有名な企業のサイトが改ざんの被害に遭うこともあるので、「有名なサイトだから安心」とは言い切れません。

登坂:絶対に安全なメール、安全なウェブサイトはないと考えるべきなのですね。

武山:はい。そのように考えてあらかじめ対策を講じておく方が良いでしょう。日常のメールやウェブサイト閲覧に使うパソコンとは別に、マイナンバーなど、重要な情報を取り扱う専用のパソコンを分けておく方が安全と言えるわけです。

(Security NEXT - 2016/02/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

個人情報関連ミス、12月前後の1カ月で17件 - 大阪市
ファイルサーバに不正アクセス、データ流出か - 丸紅グループ会社
マイナンバーや口座情報含む国勢調査員関連書類を紛失 - 大阪市
2020年度上半期、個情委への個人情報漏洩報告は481件
被保険者や求職者情報含むバックアップ媒体を紛失 - 厚労省
マイナンバーカードの住所更新でミス、廃止状態に - 大阪市
新潟県で偽国勢調査員による「かたり調査」が発生
交付前のマイナンバーカード2枚が所在不明に - 茂原市
なりすまし不正口座開設、写真なし証明書を悪用 - 筆跡が酷似
交付前のマイナンバーカードが所在不明 - 和泉市