Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【税理士×Security NEXT】マイナンバーを扱う現場の課題とセキュリティ対策 第3回危険ととなり合わせ、企業はマイナンバーをどう守ればいい?

マイナンバー取扱用に別のパソコンを用意する

20160210_sn_002.jpg
最近は安全そうに見えるウェブも危険なんです(武山)

武山:パソコンを別途用意できると良いですね。マイナンバーを扱うパソコンと、日常的に使用するパソコンを別に分けるのです。

というのも、日常的に使うパソコンは、メールを送受信したり、ウェブサイトへアクセスしたりするでしょう。昔は、「不審なメールは開かない」「怪しいサイトにはアクセスしない」と言われていましたが、今ではもはや通用しません。

登坂:年金機構の事件も、メールがきっかけになったと聞いています。

武山:標的型攻撃として注目を集めました。こうした巧妙な攻撃は、一般的な問い合わせメールのようなやりとりから始まりまることもあります。

ターゲットに対して普通のメールを何通かやり取りした後に、マルウェア付きの添付ファイルを送り、相手を感染させます。

そのマルウェアを使って、ターゲットとなった組織内部のパソコンをコントロールして情報を盗みだすのです。きわめて巧妙な手口なので、やり取りしているメールから「何かおかしい」と気が付くことは難しいケースも多々あります。

マルウェアそのものも悪質になっています。昔は愉快犯が中心で、感染させられると画面がおかしくなり、利用者も異常に気が付きました。

しかし最近の標的型攻撃の場合は、機密情報の入手など明確な目的があります。侵入に気が付かれたら対策を講じられ、それ以降は情報を盗みだせなくなってしまうので、感染に気が付かれないように作っています。

登坂:普通に使っているなら、情報が盗まれていることに気が付かないかもしれませんね。

武山:さらに「水飲み場攻撃」というものもあります。これは、ターゲットとされた組織や企業がよく利用するだろうウェブサイトを改ざんして、マルウェアを組み込んでおくというものです。そして、ターゲットがアクセスした場合に限り、脆弱性を攻撃して、パソコンに感染させるのです。

この場合は、ターゲットではない企業のパソコンがアクセスしてもマルウェアに感染せず、見つけるのも容易ではありません。しかも、誰でも知っている有名な企業のサイトが改ざんの被害に遭うこともあるので、「有名なサイトだから安心」とは言い切れません。

登坂:絶対に安全なメール、安全なウェブサイトはないと考えるべきなのですね。

武山:はい。そのように考えてあらかじめ対策を講じておく方が良いでしょう。日常のメールやウェブサイト閲覧に使うパソコンとは別に、マイナンバーなど、重要な情報を取り扱う専用のパソコンを分けておく方が安全と言えるわけです。

(Security NEXT - 2016/02/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

労務管理サービスの個人情報流出 - 調査結果を公表
利用する労務管理クラウドで関連ファイルが流出 - イオングループ会社
ワクチン接種会場の医療従事者情報が流出、外部サービス経由で - 茨城県
高額療養費支給申請書を紛失、ゴミと取り違えられた可能性 - 川崎市
介護保険の高額合算療養費申請書約2500件を紛失 - 横浜市
児童相談所で児童の住民票が所在不明に - 福岡県
委託先従業員がマイナカード申請情報を私的利用、好意持ち連絡 - 郡山市
労務管理クラウドシステムでアクセス権の設定ミス - 個人情報が流出
ファイルを取り違え、町民の個人情報を誤って公開 - 綾町
サポート詐欺被害、PCを遠隔操作される - 足立東部病院