Comments
Description
Transcript
厳格なパスワード運用が 招いた悲劇
事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 日常の些細な行動が、実は重大なセキュリティ事故の原因になる可能性があります。実際に起きた4つのセキュ リティ事故事例について、企業の情報セキュリティ実態に詳しい、 日本セキュリティ・マネジメント学会の常任理事 萩原 栄幸氏が、事故の原因とその対策方法を解説します。 Case1 厳格なパスワード運用が 招いた悲劇 Case2 パスワードの使い回しで、 職場を追われた男 Case3 なまじ堅牢なパスワードが 仇となり…… Case4 うっかりミスで、懲戒免職の瀬戸際 まで追い詰められた男の失意 厳格なパスワード運用が 招いた悲劇 更新後にパスワードメモを ゴミ箱にポイ。 システムの多さに比例して、増加するパスワード管理の負担。 多くの人がパスワードを忘れないよう、 手帳やデスクの中に メモを保管していたりしますよね。 しかし、 定期更新によって、 不要になった過去のパスワードメ モを不用意に捨てたりしていませんか? その あるある 、 ちょっと危険かもしれません。 期限切れパスワードの不用意な 処分方法で4700万円の被害額! 同僚による犯行で、 被害者も ボーナス査定2年間ゼロ! 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 実際に事故に繋がった事例 A氏は部長であり、 毎朝自席のPCを起動することから仕事が始まっていた。 ところがある日、 部長のIDでの侵入で取引先データ ベースの一部がコピーされてしまった。 その後、 容疑者は同じ部の内部者であり、 課長のB課長であることが判明した。 A部長はラ ンダムなパスワードを以前一度忘れてしまい、 相当な冷や汗をかいた経験がある。 そこでA部長はパスワードをメモに記載後、伴 のかかる引き出しにしまっていた。 ある日、 パスワードの変更時期が来て、 A部長はいつもの様にパスワードを作成し机の中にあっ たメモ (昔のパスワード) をゴミ箱に捨てた。 この一部始終を見ていたB課長はこっそりゴミ箱の中からメモを拾った。 パスワード は8桁で 「G4h9B#01」であった。 B課長はそれをみて・・・ 「今回は多分G4h9B#02に違いないと考え、 そのパスワードを使ってシステムの侵入を果たし取引先データベースをコピーす ることに成功したのであった。 B課長は懲戒免職。 被害者であるA部長もボーナス査定2年間ゼロというとても痛いペナルティとなった。 取引先のデータは一部 (約2000件) が漏えいし、 マスコミこそ漏れなくて幸いであったが、 この為の直接費用だけで約4700万円 もの費用が掛かることとなった。 なぜこの事故は起こったのか!? ログイン時のパスワードは就業規則に則り 「英字大文字小文字、数字そして特殊文字を使 用して意味のある単語にしてはならない」 という部分を守っていたのは良かったが、 これが 却って 「覚えきれない」 という意識を招き、末尾だけを更新するようなことになってしまっ た。 さらには、 そんな類推されやすいパスワードを、更新を終えたといって不用意に廃棄して しまったことが、 この事故を発生させたと言えます。 富士通の生体認証ソリューションなら防げた! 富士通の生体認証ソリューションの特徴には、 「パスワードをユーザーが管理しない」 というものがあります。 厳格なセキュリティポリシーに則り、複雑で強固なパスワードを、会社側が設定・管理できます。 また、定期更新の時期や内容も会社側で行えるので、 社員本人は、 パスワードを覚える手間どころか、 パスワードを知る必 要すらなくなるのです。 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 Case1 厳格なパスワード運用が 招いた悲劇 Case2 パスワードの使い回しで、 職場を追われた男 Case3 なまじ堅牢なパスワードが 仇となり…… Case4 うっかりミスで、懲戒免職の瀬戸際 まで追い詰められた男の失意 パスワードの使い回しで、 職場を追われた男 会員制ネットメディアの登録に、 業務システムのパスワードを流用。 業務システムで使うために作成したパスワードだから、 堅牢さは折り紙つき。 プライベートで使用しても安心だ し、使い回していれば複雑でも忘れる心配はない。そん な理由で、会員制ネット記事の登録やネット通販に、業 務に使うパスワードを流用していませんか? その ある ある 、 かなり危険かもしれません。 クライアントのグループ企業から、 コンペの参画を拒絶! 調達コストだけで、 当初予算より 7,000万円以上もの増額に! 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 実際に事故に繋がった事例 中堅の建築会社の部長であるA氏。 彼は会社で使うパスワードは就業規則に則り厳密に作成していた。 そして、業務システムに使 用するパスワードなら堅牢な上に、 普段使っているから忘れる心配がないという理由で、 自宅のパソコンからアクセスするネット 通販やネットバンキング、 会員制ネット記事を購読する際の登録パスワードに流用していた。 ところがある日、会社で情報漏えいが発覚。受注に成功した大型ビルの設計図が漏れていたことで大騒ぎになった。 設計図は2年 もかけて作成し、 その中には極めて重要なノウハウもまじっていた。 セキュリティ会社による調査の結果、 ログ情報などからA氏のIDで侵入した犯人がデータをコピーしていたという事実が明らか になったのであった。 A氏は降格処分に加え、3か月間10%の減給となった。 しかし、 職場に居づらくなり、 その後自主退職を余儀なくされた。 一方、会社側も信用低下という手痛い被害を被ったのである。 クライアントのグループ企業からはコンペの参画すら許されなくな った。 また、 ビル内の電気配線や制御システムの設置位置の変更、換気口の配置や警備システムの変更など、設計図の変更作業 を強いられ、設計関連の人件費の増額分だけでおよそ2,300万円の損失となった。 さらに調達コストも当初予算より7,000万円 以上も増額となったのである。 なぜこの事故は起こったのか!? 半年ほど前、 A部長がプライベートに利用していたある会員制サイトで情報漏えい事件が発 覚し、 サイトを運営する会社から謝罪メールが届いたことがありました。 その際、登録したパ スワードを変更するようにとの指示があり、 A氏は指示通りにサイトのパスワードの変更を済 ませると、 情報漏えいの件はすっかり忘れていたのです。 じつはA氏は、 以前そのサイトで商品を購入したことがあり、 その時、 勤務する会社を配送先 に指定したのですが、 犯人は不正に入手したA氏の個人情報から勤務先を特定し、サイトに 登録していたパスワードを使って会社のシステムに侵入、 設計データをコピーしたのです。 就業規則に則ったどれほど堅牢なパスワードも、 プライベートで使用するとリスクが高まりま す。 セキュリティの脆弱なWebサービスからID・パスワードを不正に入手し、 標的の企業の業 務システムへ不正アクセスを行う 「リスト攻撃」 の 食にされかねません。 A氏の場合も、 業務 で使うパスワードを安易にプライベートで使い回していたために、不正に入手した個人情報 を使って勤務先のシステムに侵入されたのです。 富士通の生体認証ソリューションなら防げた! もし生体認証を導入していれば被害は避けられたはず。 パスワード認証は、 登録されたパスワードと入力されたそれが一 致するか否かの判断しかできないため、 パスワードさえ一致すれば本人でなくても認証してしまいます。生体認証は確実 な本人認証ができるので、 なりすましによる被害の可能性は限りなくゼロ。 会社とプライベートのパスワードを使い回して しまうようなズボラな社員がいても心配ありません。 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 Case1 厳格なパスワード運用が 招いた悲劇 Case2 パスワードの使い回しで、 職場を追われた男 Case3 なまじ堅牢なパスワードが 仇となり…… Case4 うっかりミスで、懲戒免職の瀬戸際 まで追い詰められた男の失意 なまじ堅牢なパスワードが 仇となり…… 強固なパスワードにしたせいで、 思い出せない。 不正アクセスやなりすましも、パスワードさえ強固なら大 丈夫。そう思っている人も少なくないはず。 しかし、 どんな パスワードも忘れてしまったら何の役にも立ちません。苦 心して強固なパスワードを作成し、 これで安心とニンマリし ていませんか? その あるある 、 相当に危険かもしれません。 失敗がトラウマとなり アイデアが枯渇。 経常利益は赤字転落。 売り上げは−37%に急下降! 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 実際に事故に繋がった事例 A氏は某ゲームソフト会社のやり手のプログラマー。会社は従業員30名程で、年2,3本リリースするゲームと、攻略本やゲームの キャラクターグッズの売り上げを収益の柱にしていた。 ある日A氏は、 かつてない自信作を完成させた。RPGとしてはたぶんトップを狙えるような斬新なアイデアが随所に盛り込まれた、 製作者自身ワクワクするものだったという。彼はそのプログラムソースを盗まれないように原本を正と副だけとし、他のソースは全 て削除させた。 そして2つの原本には暗号化を施した。 マスターキー(パスワード) を入力しない限りは絶対に元のデータを復元で きないものだった。 その後、新製品を社内テストし、音楽制作者とともに効果音やベース音楽を決める段階で、 いくつかの些細なバ グが発見された。 そこでA氏はソースプログラムに変更を加えようとしたのだが、 どうしたことか、暗号化した際のマスターキーを 忘れてしまったのである。 必至でパスワードの断片を記憶の底から伻らせようとしたのだが、全く思い出せない。苦肉の策でブルートフォース攻撃(総攻撃) で解析を試みたが、15桁もある上に英字大文字小文字そして数字に特殊文字が混在していたため、高性能パソコンでも1億年 以上かかる計算となり、 結局そのゲームは 「お蔵入り」 となってしまった。 A氏はその後、 同じようなゲームを企画したが先の一件がトラウマとなったものかアイデアに恵まれず、結局逃げるように転職して しまった。会社もその年の売り上げは−37%に急降下し、 創業以来右肩あがりの 「経常利益」 は初めて赤字に転落してしまった。 なぜこの事故は起こったのか!? セキュリティを強化し、 ライバル会社がソースプログラムを不正にコピーできないように暗号 化したまでは良かったのです。 ただし、 どこの企業でも推奨されるように、 パスワードは意味 のないランダムな文字列であることで強固さを担保されます。作成直後は覚えていたが、販 売戦略を練るうちにすっかり忘れてしまったというのでは笑い話にもなりません。 「物忘れ」 というにはあまりにもお粗末なケースと言えるでしょう。 どんなに就業規則に則った堅牢なパスワードも、忘れては何にもなりません。 とはいえ、強固 なパスワードほど桁数は多くなり、 しかもランダムな文字列だけに記憶に頼るには無理があ ります。手帳に記載したり、 スマホにメモしておくことを許可していない企業も多く、失念の心 配のない堅牢なパスワードの運用は難しいのが実情です。 富士通の生体認証ソリューションなら防げた! 失念や紛失、 置き忘れの心配のない生体認証にしておけば、 こういう悲喜劇は未然に防げたに違いありません。生体認証 なら社員は認証のためのパスワードを覚える必要がなく、 システム側の専用ソフトが各業務システムにID・パスワードを自 動入力。 どれほど強固なパスワードを設定しても瞬時にログインでき、 パスワード入力の手間がないので業務効率を低下 させる心配もありません。 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 Case1 厳格なパスワード運用が 招いた悲劇 Case2 パスワードの使い回しで、 職場を追われた男 Case3 なまじ堅牢なパスワードが 仇となり…… Case4 うっかりミスで、懲戒免職の瀬戸際 まで追い詰められた男の失意 うっかりミスで、懲戒免職 の瀬戸際まで 追い詰められた男の失意 ノートパソコンと、 認証パスワードを メモした手帳を、 同じ に。 強固なパスワードを設定していれば、万一パソコンの紛失 や盗難に遭ったとしても、中に入っている情報が漏えいす る心配はない――本当にそうでしょうか? もしパスワー ドを記載したメモをパソコンと一緒に失くしたら? そう なくても 「ブルートフォース攻撃」 をかけられればハッキン グされてしまうのは時間の問題です。 その あるある 、想像 以上に危険かもしれません。 あわや流出寸前。盗まれたPCを 中古買い取り店で発見! 水際で食い止めたのに、 賞与ゼロ! 事例③ 実際に事故に繋がった、 笑えないセキュリティ “あるある” 4選 実際に事故に繋がった事例 とある商社で営業職についているA氏。 ある日、 お得意先にPCを持参しプレゼンを行った。手ごたえは大きく、満足感につつまれ たA氏は連日の疲労も手伝い、帰りの電車で居眠りをしてしまった。乗り過ごしに気づいて慌てて電車を降りたA氏だったが、 すぐ に真っ青になった。 プレゼン用のノートPCと資料一式を入れた手提げバッグを置き忘れたことに気づいたからである。 直ちに駅員に事情を告げ、 バッグを捜索してもらったが見つからない。A氏は凍りついた。紛失したのは会社支給のノートPCで、 起動するためのパスワードをメモした紙ごとバッグに入れていたからである。 おまけにPCにはプレゼン資料以外に、本来、社外に は持ち出しが禁止されている他の重要案件の機密情報が満載されていたのだ。 事故から1週間後、 ある中古買い取り店から紛失したPCが持ち込まれたとの通報があった。持ち込んだ老人は強固なパスワード を破った上に、 用意周到にデスクトップのデータを消していたのだが、 店のスタッフが偶然に削除忘れのファイルを見つけてくれた のだ。 ファイルは削除されていても、復元しようとすれば容易に復元可能である。 こうして機密情報や顧客情報が入ったPCが市場 に流出するのを水際で食い止めることができたのだった。 直接的な損害は殆どなかったものの、従来のような運用ではハイリスクであることを会社側も痛感したようである。一方、 A氏には さまざまな規則違反があったため無罪放免とはいかなかった。 成績考課の評定は最悪となり、 当期の賞与はゼロ。 しかもその後の 昇格で同期の標準とくらべ3年ほど遅れるはめになったのである。 なぜこの事故は起こったのか!? A氏には、会社のために頑張っているのだから多少の逸脱は許されるだろう、 という甘えが あったのでしょう。会社支給のPCを社外に持ち出す場合の規則を破り、必要以外のファイ ルを残していたのもそのためだと考えられます。 それにつけても、疲れているからといってパ ソコンを網棚にのせてはいけません。 なによりまずいのは、 パスワードを書いたメモを、PCと 同じ に入れて持ち歩いていたことです。仮にPCとパスワードを別々にしていたとしても、 パ スワード認証のPCは、 「ブルートフォース攻撃」 と呼ばれる総当たり式の入力で時間さえか ければ、 いずれハッキングされてしまいます。 ノートPCやタブレットなどのモバイル端末は、 盗難や紛失することを想定した対策をしておくことが重要です。 富士通の生体認証ソリューションなら防げた! 生体認証を導入していれば、 仮に盗難に遭ったとしてもPCを起動することさえできなかったはず。 生体認証は盗難や紛失 に対して、 パスワードとは桁違いのセキュリティ強度を備えています。認証時にパスワードを使用しないので、 メモに残すリ スクがゼロになるのはもちろん、 パスワードの入力画面自体がなくなるので、 ブルートフォース攻撃のように時間をかけた としてもハッキングすることは不可能。本人以外が認証されることは決してありません。 セキュリティは富士通 ∼ FUJITSU Security Initiative ∼ 富士通は、お客様・社会のイノベーションの実現に向けて、ICT の安心安全を支えるための製品・サービスを 「 FUJITSU Security Initiative 」として体 系 化しました。当 社 のセキュリティ製 品・サ ービスをはじめ、 世 界 中から最 先 端 のソリューションを集め、お客 様に最 適な組 み 合わせで運 用を統 合 的に提 供します。 生体認証ソリューションの詳細はこちら!導入事例や調査データなども多数公開中 富士通 セキュリティラボ http://www.fmworld.net/biz/security_lab/ 富士通株式会社 富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い 合わせください。電話でもご注文・ご相談を承りますので、 下記窓口までご連絡ください。 0120-996-186 ( 受付時間 9 時∼ 19 時) [富士通購入相談窓口]