7月某日、某所にて「セキュリティ指導をしているがその方法が良くない」事例を目撃した。セキュリティ意識が高いのは良い事なのだが、そのセキュリティ意識は空回りしているどころか、逆にサイバー攻撃に付け入る隙を与える事になるということを、サイバー攻撃の一種「ソーシャルエンジニアリング」という観点から、その事例をもとに紹介することにする。
目次
大勢の客がランチを楽しむ中「Surface」を抱えて隣の席に座る女性
私は、ランチタイムを会社近くのファーストフード店で過ごすこともあるのだが、いつものように着席し、モバイルオーダーで注文を済ませて商品の到着を待っていると、隣の席に、何を頼むわけでもなくSurface端末を抱えて着席する20代後半くらいの女性が来た。まぁ、喫茶店で仕事をする人もいるぐらいだから、よく見る光景である。
しかし、その女性は険しい顔をしながら端末を開き、何を頼むわけでもなく着席している。
すると、同じ席に同僚と思しき20代前半くらいの若い男性が到着。開口一番「お待たせしました」。とやや硬い感じだ。なんだ、職場の先輩後輩が男女でランチとはうらやまけしからん。と思いつつも、大人の対応として気にしないフリをしておく。
しかし、同僚とのランチ?と思ったが様子がおかしい。男性が着席し、一通り挨拶を済ませた後、女性が口を開く。
業務上の問題行動における叱責を始める
「あなた、何でここに呼ばれたかわかってますか?」
この発言が飛び出した時点で、ただ事ではないことを察した。人間、こういう時には聞きたくなくても会話がよく聞こえてきてしまうものである。
男性が申し訳なさそうに返事をすると、女性が早口で会話を始める。淡々と事務的に話を進めていく女性と、時々元気なく返事をする男性。どうやら何か不祥事をやらかして呼び出され、要約すると以下のような内容であることがわかった。
- 男性は7月初に採用されたアルバイト社員
- 女性は管理部門の正社員
- 男性が貸与された社用スマホにあろうことかSNSアプリを無断でインストール
- 社用スマホからSNSにアクセスしようとしてアクセス遮断
- アクセス遮断のログを検知してシス管が調査
- 芋づる式に業務時間に私用サイトをいくつか閲覧していることが判明
- 男性本人がログを検知した時間帯に貸与端末を操作していることが監視カメラ上からも把握されている
- 入社時にセキュリティに関する教育を受け、何かしら誓約書を書いている
- 常務にまで話が上がっていて、何らかの処分は免れない
- 解雇になるか、処分の上雇用を継続するかは、別途連絡する
と…生々しい話を聞く、いや聞こえてきてしまった内容を総合すると、基本的にこの男性がやったことは真っ黒であり、職務専念義務に反していることはもちろん、入社時のセキュリティ教育で社用スマホを私的に利用することが厳禁であることも聞いており、誓約書まで書いているので、この件では何らかの処分を受けてもやむを得ないとは思うし、管理部門が当該社員に対して注意・警告を与えることは妥当だろう。
が、問題はそのやり方だ。個人的にはこの女性や、このような指導方法を容認している管理職も「指導」の対象にしたいところだ。
ソーシャルエンジニアリングは原始的だが立派なサイバー攻撃手法だ
「ソーシャルエンジニアリング」という言葉を、セキュリティ界隈では聞く機会もあるだろう。サイバーセキュリティ上の脅威は、何も高度に防御されたセキュリティを突破されることだけではない。
ソーシャルエンジニアリングは、人の「社会的な行動」に関する脆弱性に付け込み、「盗み見」や「盗み聞き」など、いわゆる「ショルダーハッキング」と言われるような原始的な方法が特徴であるが、攻撃が成功すれば高度なセキュリティなど一切無視して、正規ルートで堂々と機密情報にアクセスすることが可能となる。
つまり、ソーシャルエンジニアリングを行ってルートを確保したうえで、別の攻撃手法で致命的ダメージを与える事を目的に使われる。そう考えると、極めて脅威のレベルの高い攻撃手段であるといえる。
今回のケースで、管理をする立場のこの女性は、男性アルバイトに対して、会社のセキュリティに係る規程違反を犯したとして、厳しい口調で叱責をしていた。しかし、この女性もまた、ソーシャルエンジニアリングに対して無防備であると言わざるを得ないだろう。
この事例では何が問題だったのか
この女性は、昼時の混み合うファーストフード店を、アルバイト男性への「指導」の場として選択した。そして、Surfaceから機密情報の満載されている社内システムへアクセスしていたと思われる。おそらく、アルバイト男性へ不正の証拠を突きつけるためだとは思うが、いささか不用心ではないだろうか。
ショルダーハッキングのようにIDやパスワードを覗き見たとしても、社内システム網へインターネットからアクセスすることは困難と思われるが、ログイン状態の端末を物理的に奪われるなどした場合、いとも簡単に機密情報へのアクセスを許すことになる。セキュリティ上、5分程度でロックがかかる設定になっているのだろうが、ロックがかからないように操作し続けることでいくつかの機密情報を持ち出すことは可能だろう。
電子メールアカウントにアクセスできてしまえば、機密情報は社外に送り放題だ。また、電子的に送信する方法がなかったとしても、画面の写真を撮影するなど情報を盗み出す手段は数多い。こういったリスクを冒してまで、わざわざ昼時のファーストフード店を指導の場としたことには疑問を感じざるを得ない。
冒頭で私は、2人の会話を要約して箇条書きにしたが、聞こえてきてしまった「指導」に関する会話の内容だけで社内のセキュリティ状況をあらかた把握できてしまう程度には具体的な情報を得てしまった。
例えば、アルバイトも含めて社員には社用スマホが貸与されることだったり、社用スマホには監視アプリがインストールされていることだったり、執務室に監視カメラが付いていることだったり。だ。
私には特に悪意がないのでこの程度で済んだのかもしれないが、仮に悪意のある攻撃者がこのような会話を盗み聞きしていて、画面ののぞき見などを組み合わせてどこの会社であるかを特定してしまえば、会社の中に仕掛けられている「トラップ」を推定することも可能となる。また、一昔前に「バカッター」という言葉が流行したが、SNSが全世界に向けて発信されているということを理解せずに仲間内だけのやりとりのつもりで発信した内容が拡散して大炎上した事例があるように、この会話を盗み聞きしたうえで具体的な場所や会社名などを挙げてSNSに投稿することで興味を惹くような内容であればすぐに拡散され、取り返しのつかないことになる。
会話は形には残らないが、重要な「情報」であることの理解が足りないと言わざるを得ないだろう。
いくら自業自得とはいえ、このような「指導」を衆人環視に近い状況の店内で受けている立場の男性アルバイトにしてみれば、自らの罪状や今後の処分の内容などを無関係の周囲に暴露されているに等しく、精神的な苦痛は大きいシチュエーションであるように思われる。基本的に、人事情報、特に賞罰の情報というのは社内でもトップシークレット扱いであるのが常道だ。そのようなデリケートな属性の話を、周囲に多くの人のいる場面では、すべきではないだろう。情報漏洩とかそれ以前の問題である。
ランチのまずくなった昼下がりだった
結局、およそ30分にわたり、女性が男性アルバイトに対して証拠に対する事実確認からの叱責を繰り返した。
他社のサイバー攻撃の事例を挙げて、誓約書まで書いたのに業務に関係ないサイトへのアクセスを何故したのか、誓約の内容を理解していないのか、軽い気持ちでやったそれがどのような結果をもたらすかという事を全然理解していないじゃないか…等々、確かに正論だな。と思いながら聞いて。いや聞こえてしまっていた。
私が攻撃者として悪意を持っていなかったから、この程度で済んだのかもしれないが、仮に悪意のある攻撃者がこのやり取りを聞きつけたら、サイバー攻撃の足掛かりを探そうとするに違いないだろう。
いずれにせよ、他人が叱られているというのは、見ていてあまり気分の良いものではない。せっかくこっちは昼休みランチを楽しんでいるというのに、そんな会話ばかり聞こえてきたらメシがまずくなる一方だ。
社員への指導教育は管理職の重要な役割だが、TPOを弁えたうえで実施することが大前提だ。それを怠ると、今度こそ悪意を持った攻撃者が、貴方を標的にやってくるかもしれないと肝に命ずるべきだ。