ニュースレターWEB

現在、日本年金機構の個人情報漏えいが問題になっています。これは職員が電子メールのウイルスが入った添付ファイルを開封したことで、不正アクセスが行われ個人情報が流出したものです。
具体的には「標的型メール攻撃」という手法を用いて攻撃が行われていました。この手法は、メールを送りつける人や組織を予め特定し、実在する差出人を装ったり、メールの件名や添付ファイルを業務と関連付けたりしながら偽装してメールを送信してくるものです。

このように 「標的型メール攻撃」は、正当なメールに偽装し、メールを開封させようとする意図があるため、この攻撃に伴う教育を受けていない人であれば、業務に関するメールだと思い込み、開封してしまうケースが多いと思います。つまり、それくらい“怪しいとは感じにくいメール”であるということです。

まずはこのような手口があるということを知り、微妙な違和感を掴むことが重要なのですが、主な対策としてはwindowsのupdateやAdobe Reader(PDF閲覧ソフト)のupdateを自動化し、最新の状態に保つこと、また、添付ファイルの拡張子（ファイルを識別するための3～4文字の文字列＝ xls doc exepdf zip等）を表示する設定にして、覚えがない実行ファイル（exe）やアイコンと違う拡張子（pdfファイルのアイコンなのに拡張子を見るとexe等）、差出人が記述しそうにない文章等、通常と異なる雰囲気のあるファイルは開かないことです。

もし、そのような状況に気付いたら情報システム部門に早く相談することが大切です。
そして、万が一、個人情報が漏えいしてしまった場合でも、その被害を最小限に抑えるための事前対策があります。それは、個人情報を保存するファイルには必ずパスワードを設定しておくという方法です。これにより、ファイルが外部に漏れた場合でも、個人情報にアクセスされる確率を下げることができるのです。

この攻撃によってウイルスに感染すると、パソコンの中の個人情報に攻撃者がアクセスできるようになってしまうため、知らぬ間に重要な情報が外部に漏れてしまいます。
通常、ウイルスに感染したパソコンは動きが遅くなり、最終的には作動しなくなることも多いのですが、この攻撃で感染するウイルスはそういうことが少ないため、感染したことに気付きにくいのです。
「標的型メール攻撃」の最大の目的は情報収集であるため、ターゲットとなった組織や人のコンピューターが壊れてしまっては困るのです。

ある学校の個人情報保護意識

私は研修講師として学校へ頻繁にお伺いをしているのですが、研修で使用する資料のデータはＵＳＢメモリ等の記憶媒体で持ち込むことはありません。
では、どうしているのかというと、データが入ったパソコン１台をそのまま学校に持参しているのです。学校からは「わざわざパソコンを持ってこなくても大丈夫です。ＵＳＢメモリにデータを入れてきてもらえれば、学校のパソコンを使えるようにしておきます」とのご配慮を頂くことが多いのですが、それでも自分のパソコンを使用することにしています。

なぜなら、５年くらい前なのですが、ある学校に持参して研修会で使用したＵＳＢメモリを事務所で再び使用したところ、ウイルスソフトが反応を示したことが複数回あったからです。つまり、学校のパソコンがウイルスに感染していたため、私が持参したＵＳＢメモリにも、そのウイルスが混入してしまったということです。これが１回ではなく何度かあったのです。しかし適切に発見・駆除されたため、当機構に影響は出なかったのですが、どの学校もこの日まで感染に気付いていなかったということです。
もちろん、直ぐに学校に連絡をしたのですが「ああ、そうですか。でも私のパソコンは動作が非常に遅いけど、まだ使えるので大丈夫です」と、気のない返事があったことを覚えています。自分のパソコンの動作が遅くて校内の他のパソコンが感染していたということは・・・・

この続きにピンとこない管理職の方もいるかもしれませんが、この機会にＩＴセキュリティに関する学校内の設定を改めて見直してみてはいかがでしょうか。子ども達の個人情報を守るために・・・

---

この記事は当機構が制作・発行している「学校リスクマネジメント通信」をWEB版として編集したものです。