セキュリティの
学び場

今回の解説ニュース

4年前の小学校勤務時の写真データ87枚ほか、撮影データ自動バックアップするクラウドサービスがスミッシング被害

大阪市は5月24日、大阪市立小学校で以前、勤務していた教員の私的アカウントへ不正アクセスがあり、個人情報を含む写真データが閲覧可能な状態であることが判明したと発表した。
(記事はこちら)

元教員が利用していたクラウドサービスが乗っ取られてしまい、勤務当時に保存していたデータに攻撃者がアクセスできる状態になっていたということです。退職者から情報漏洩が発生しないようにするために、気を付けるべきポイントについて説明します。

今回のインシデントは、元教員がスミッシングの被害に遭ってしまい、個人で契約していたクラウドサービスのアカウントが乗っ取られたことで発生したということです。スミッシングとは、SMSとフィッシングを組み合わせた造語で、フィッシングが主にメールを悪用して被害者を攻撃者のサイトへ誘導することに対して、スミッシングは携帯電話のSMSを悪用します。スマートフォンが普及したことと、SMSのセキュリティ対策がメールより難しいことから被害が増加しています。

さらに、元教員が私物のスマートフォンで撮影した写真データが、乗っ取られたクラウドサービスへ自動的にバックアップされる設定となっていたため、元教員が勤務当時にスマートフォンで撮影した写真に攻撃者がアクセスできる状態になっていたということです。

スミッシングの対策

スミッシングの対策はフィッシングの対策と同様で、メッセージに書かれているURLやリンクをクリックした先のホームページで、IDやパスワード、クレジットカード番号や口座番号など、機密情報を入力することは避けましょう。また、ブックマークを活用するなどして、正しいURLであることを担保したうえで、金融機関や決済サービスを利用するようにしましょう。

ただし、スミッシングにはひとつだけ、フィッシング以上に気を付けなければならない点があります。それは「法律の壁」です。憲法第21条では「通信の秘密」が定められており、SMSで送られるメッセージの中身を第三者が検閲してはならないとされています。つまり、各事業者側がメールの中身によって判断する迷惑メールフィルタがSMSでは実施できないことになります。

よって、スミッシングに使われるSMSの送信に少なからずコストがかかるのにもかかわらず攻撃手段として選ばれる理由は、フィッシングのメールと比較しても、ユーザへの到達率や開封率が高いことが考えられます。スミッシングについては以前の配信でも触れさせていただきましたので、興味のある方はバックナンバーも聞き返してみてください。

クラウドから情報漏えいを起こさない為の対策

スマートフォンに保存されたデータは意図せずクラウドサービスへバックアップされてしまう可能性があります。その仕組みと気を付けるべきポイントについて説明します。

皆さんも、スマートフォンの機種変更をした際に、過去のデータが自動で引き継がれたことがあるのではないでしょうか？これはスマートフォンに保存されたデータがGoogleアカウントやApple IDと紐づけられており、各クラウドサービスへ自動的にコピーされているからです。一見便利な機能ですが、いくつか気を付けるべきポイントがあります。

まず、スマートフォンに保存するデータ自体に気を付ける必要があります。最近ではBYOD「Bring Your Own Device」と呼ばれる、個人が所有するスマートフォンを業務でも利用することが増えてきました。BYODの場合、スマートフォンに保存された業務データが個人のクラウドサービスにコピーされるかもしれないことを認識する必要があります。

また、スマートフォンの機種変更時に、古いスマートフォンで使っていたアカウントを忘れてしまった場合、過去のスマートフォンに保存されていたデータを引き継げないだけでなく、データの削除もできなくなる可能性があります。後で機密情報がクラウドサービスにバックアップされたことに気が付いても、対応できなくなる可能性がありますので注意が必要です。

対策としては、BYODで使用するアカウントは組織で管理するものを使うことが必要です。パスワードを忘れしまった際の対応や、クラウドサービスへのバックアップについても組織で把握することができます。また、組織のアカウントを使用することで、MDMと呼ばれるモバイルデバイス管理の機能が利用できる場合があります。BYODの端末自体も管理できますので、万が一の紛失時にもリモートからスマートフォンのデータを削除できる機能などが利用できます。BYODの場合はMDMの機能を積極的に利用したいですね。