記事

年金情報流出に絡んで、そろそろ自己解凍型暗号(exe)をなんとかしたい

日本年金機構の職員が利用するPCにウイルスが感染していたことで、年金情報が大量流出しました。セキュリティに対する組織の体制、カルチャー、職員の意識に対する問題がさまざまなところで取り上げられています。

・日本年金機構の情報漏えいについてまとめてみた
http://d.hatena.ne.jp/Kango/20150601/1433166675

簡単に述べると、巧妙な文面とあからさまに怪しい差出人メールアドレスを持つメールの添付ファイルを多数の職員がクリックしてしまい、年金記録から年金番号・住所・氏名・生年月日が外部へ流出してしまった、という事件です。

このアタックを仕掛けたのはどこなのか明らかにはなっていませんが、利用されたのは「クラウディオメガ」という、一太郎の脆弱性を突いたクラッキング手法です。

・クラウディオメガ:リモートでコードが実行可能となる「CVE-2014-7247」
http://www.justsystems.com/jp/info/js14003.html

すでにいくつかの対策が実行されており、なかには「外部とのメールを禁止する」という驚きのアクションも含まれていたりします。

本件に関する問題究明は継続されるでしょうし、じつは他の省庁から同種の手口で防衛情報が漏えいしている事案が発生していることが6月7日現在で明らかになっていますが、これらの論点は技術的仕様ではなく、ITを運用する側、利用する側の意識や使い方になると思います。

そこでこれらに絡んで、ITの現場にいる立場から、いい加減になんとかした方が良いと思うことをメモしておきます。

●自動解凍型の暗号化ファイル(exe形式)を使う

これはそろそろやめてほしいです。たとえば、日立が提供している「秘文」というセキュリティ製品を使って文書ファイルを暗号化すると、exe形式の自己解凍型ファイルが作成できます。特定パスワードを入力しないと中のファイルを取り出せない仕組みではありますが、そもそもexe形式のファイルは最近のメールフィルタリング機能で自動排除されてしまいます。

ですから、秘文などを利用している企業では、拡張子を「ex_」などと書き換えてファイルを添付すると受信できる仕様にセキュリティレベルを弱めていたりするのですが、せっかくのセキュリティレベルを敢えて下げるくらいなら、最初から秘文を使わない方が良いでしょう。

メールという脆弱な送信手法を選ぶしかない中で、S/MIMEのような電子証明書を必要とするやりとりが使えないなら、クラウドベースでのファイル送信サービスを利用するか、情報漏れの可能性を許容して、zipに暗号を設定して送る方がよいと思っています。

●パスワード付ファイルとパスワードを別メールで送る

このルールを暗黙の了解にするのはやめてほしいです。クラッキングされているなら、メールを一緒にしても分けても流出リスクは変わりません。別メールにすることで誤送信時のリスクを減らせるという話も聞きますが、パスワードを送るメールは、そもそも誤送したメールへの全体返信になっているケースが大半であるため、セキュリティ効果は微々たるものです。

現状では、他にコストや手間との兼ね合いでマシな方法がないということで、添付ファイルとパスワードの別送信手法はビジネスマナーとして広く教えられているため、マナーを守るという点でこのやり方が使われていますが、内閣サイバーセキュリティセンターでは省庁におけるパスワードのやりとりはメール以外で相手に伝えることを推奨しています。都度、別メールで新しいパスワードを伝えるよりは、電話や対面で共通パスワードルールを決め、それに沿って運用する方がよいのではないでしょうか。

労力の割に効果が乏しいセキュリティ対策、むしろセキュリティを低めている運用が他にもあれば教えてください。

あわせて読みたい

「サイバーセキュリティ」の記事一覧へ

トピックス

  1. 一覧を見る

ランキング

  1. 1

    朝日新聞が月ぎめ4400円に 27年ぶりの購読料値上げは吉と出るか、凶と出るか 

    木村正人

    06月15日 18:26

  2. 2

    選手間の感染だけでなく熱中症の死亡リスクも 東京五輪は綱渡り状態

    諌山裕

    06月15日 11:52

  3. 3

    「外食産業の真実爆弾」ウハウハのマクドナルド、崖っぷちワタミの"笑えない格差"はどこでついたか

    PRESIDENT Online

    06月15日 13:40

  4. 4

    2021年のガンダムの見せ方、それとテロリズム──『閃光のハサウェイ』

    シロクマ(はてなid;p_shirokuma)

    06月15日 08:36

  5. 5

    五輪強行開催 コーツが来たりて大量虐殺の笛を吹く

    田中龍作

    06月15日 08:39

  6. 6

    ワクチン接種は医療者として当然必要な条件 個人の自由を制限するのはダメなのか

    中村ゆきつぐ

    06月15日 08:23

  7. 7

    二階俊博氏、コロナ対策で失策の指摘に「これ以上やりようありますか?」と逆質問

    ABEMA TIMES

    06月15日 19:26

  8. 8

    数字の水増しが常態化? 小池知事が招いた都庁の緊急事態

    文春オンライン

    06月15日 10:31

  9. 9

    内閣不信任案提出はいいが、趣旨説明の時間が無制限というルールは止めた方がいいな

    早川忠孝

    06月15日 16:04

  10. 10

    田中みな実、長澤まさみ問題で考える マネージャーの劣化か時代の変化か

    NEWSポストセブン

    06月15日 08:58

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。