記事

年金情報流出に絡んで、そろそろ自己解凍型暗号(exe)をなんとかしたい

日本年金機構の職員が利用するPCにウイルスが感染していたことで、年金情報が大量流出しました。セキュリティに対する組織の体制、カルチャー、職員の意識に対する問題がさまざまなところで取り上げられています。

・日本年金機構の情報漏えいについてまとめてみた
http://d.hatena.ne.jp/Kango/20150601/1433166675

簡単に述べると、巧妙な文面とあからさまに怪しい差出人メールアドレスを持つメールの添付ファイルを多数の職員がクリックしてしまい、年金記録から年金番号・住所・氏名・生年月日が外部へ流出してしまった、という事件です。

このアタックを仕掛けたのはどこなのか明らかにはなっていませんが、利用されたのは「クラウディオメガ」という、一太郎の脆弱性を突いたクラッキング手法です。

・クラウディオメガ:リモートでコードが実行可能となる「CVE-2014-7247」
http://www.justsystems.com/jp/info/js14003.html

すでにいくつかの対策が実行されており、なかには「外部とのメールを禁止する」という驚きのアクションも含まれていたりします。

本件に関する問題究明は継続されるでしょうし、じつは他の省庁から同種の手口で防衛情報が漏えいしている事案が発生していることが6月7日現在で明らかになっていますが、これらの論点は技術的仕様ではなく、ITを運用する側、利用する側の意識や使い方になると思います。

そこでこれらに絡んで、ITの現場にいる立場から、いい加減になんとかした方が良いと思うことをメモしておきます。

●自動解凍型の暗号化ファイル(exe形式)を使う

これはそろそろやめてほしいです。たとえば、日立が提供している「秘文」というセキュリティ製品を使って文書ファイルを暗号化すると、exe形式の自己解凍型ファイルが作成できます。特定パスワードを入力しないと中のファイルを取り出せない仕組みではありますが、そもそもexe形式のファイルは最近のメールフィルタリング機能で自動排除されてしまいます。

ですから、秘文などを利用している企業では、拡張子を「ex_」などと書き換えてファイルを添付すると受信できる仕様にセキュリティレベルを弱めていたりするのですが、せっかくのセキュリティレベルを敢えて下げるくらいなら、最初から秘文を使わない方が良いでしょう。

メールという脆弱な送信手法を選ぶしかない中で、S/MIMEのような電子証明書を必要とするやりとりが使えないなら、クラウドベースでのファイル送信サービスを利用するか、情報漏れの可能性を許容して、zipに暗号を設定して送る方がよいと思っています。

●パスワード付ファイルとパスワードを別メールで送る

このルールを暗黙の了解にするのはやめてほしいです。クラッキングされているなら、メールを一緒にしても分けても流出リスクは変わりません。別メールにすることで誤送信時のリスクを減らせるという話も聞きますが、パスワードを送るメールは、そもそも誤送したメールへの全体返信になっているケースが大半であるため、セキュリティ効果は微々たるものです。

現状では、他にコストや手間との兼ね合いでマシな方法がないということで、添付ファイルとパスワードの別送信手法はビジネスマナーとして広く教えられているため、マナーを守るという点でこのやり方が使われていますが、内閣サイバーセキュリティセンターでは省庁におけるパスワードのやりとりはメール以外で相手に伝えることを推奨しています。都度、別メールで新しいパスワードを伝えるよりは、電話や対面で共通パスワードルールを決め、それに沿って運用する方がよいのではないでしょうか。

労力の割に効果が乏しいセキュリティ対策、むしろセキュリティを低めている運用が他にもあれば教えてください。

あわせて読みたい

「サイバーセキュリティ」の記事一覧へ

トピックス

ランキング

  1. 1

    小池知事の詐称疑惑 失職判例も

    郷原信郎

  2. 2

    倉持由香 給付金100万円受け取り

    BLOGOS しらべる部

  3. 3

    AppleMusic停止 異例の抗議行動

    跡部 徹

  4. 4

    都の方針に歌舞伎町経営者が怒り

    BLOGOS編集部

  5. 5

    きゃりー父「投稿に責任を持て」

    文春オンライン

  6. 6

    神の業? コロナ直面のイスラム教

    BLOGOS編集部

  7. 7

    コロナで着目すべき「血液凝固」

    大隅典子

  8. 8

    ユニクロ参入でマスクバブル終焉

    NEWSポストセブン

  9. 9

    アパレル倒産 コロナ前から兆候

    南充浩

  10. 10

    暗号資産に麻生節「名称が悪い」

    音喜多 駿(参議院議員 / 東京都選挙区)

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。