事業計画の漏洩も!メールのリスク総ざらえ

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

事業計画の漏洩も!メールのリスク総ざらえ

2010/03/02


 知らない相手からのメールや怪しい添付ファイルは絶対開いていないはずなのにウイルス感染して知らぬ間に情報が流出していたり、いつもの相手先からのメールだと思って開いてみたらフィッシングサイトへの誘導メールだったり……。攻撃手法やユーザのリテラシは変化しても、メールが攻撃の媒介役を果たしている状況は昔からあまり変わっていない。それどころか、WebメールやSNS、マイクロブロギングが悪用されるケースが増えており、リスクはむしろ増している。今回は、メールに関連して情報漏洩が起きたケースをカギに、メールにひそむ危険性を考えていく。

メールセキュリティ

#014

Twitter社の事業計画がGoogle Appsから漏洩!

 2009年7月、社員の個人情報や契約情報、事業計画等の機密であるはずの社内文書が複数のブログ運営者やメディアに送りつけられるという事件が発覚した。機密文書を所有していたのはアメリカのTwitter社、その文書を保管していたのはオンラインアプリケーションサービスであるGoogle Apps(米Google社)だった。いったい何が起きたのか?次のような状況が推測されている。
 発端はGmailアカウントのクラッキングだった。攻撃者はTwitterスタッフのGmailユーザ名を名前などから推測した。パスワードはわからなかったが、Googleアカウントのパスワードリセットする機能を利用した。
 このリセット機能では、登録されている正規ユーザのメールアドレスにリセット用のURLが届く仕組みになっている。その手順を説明する画面で登録メールアドレスは伏せ字(*)になっているとはいえ桁数や一部の文字はわかるようになっていた(***@h******.comのように)。ここから攻撃者はhotmailアカウントであることを推測し、Gmailアカウントのユーザ名を流用してアクセスしてみると、そのhotmailアカウントは無効になっていた。そこで攻撃者はそのhotmailアカウントを正規の手続きで取得し、Gmailのパスワードリセットを実行してリセット用のURLをhotmailアカウントで受け取ることに成功した。
 しかしそれでは本来のユーザがログインしたときに気づかれてしまう。そこで攻撃者はメールアーカイブを探索した。そこには他のサービスのためのパスワード通知メールがあった。そのパスワードがGmailにも使い回されていると判断した攻撃者は、そのパスワードに変更した。そのため、正規ユーザは何も気づかずにGmailを利用し続けることになった。Google AppsにはGmailアカウントでアクセスできるため、アップロードされている社内文書は自由に閲覧やダウンロードができた。一部は現実にダウンロードされ、まるで戦利品を自慢するかのようにブログ運営者などに送りつけられた。送りつけられたブログ運営者が、Twitter社にその旨を知らせ、乗っ取られたパスワードがリセットされるのを待って事件を公表したというのがことの顛末だ。また、Gmailアカウントを利用して、他のサービス(MobileMe、Amazon、iTunesなど)のためのパスワードも詐取された可能性もある。
 こうして攻撃者はメールアカウントを乗っ取って好き放題ないたずらをしたようだ。Twitter社では流出した文書の内容を詳しく発表していないが、大きな機密情報ではなかったとしている。またGoogle社ではこの事件の原因はパスワード管理の不備であるとし、Google Appsの脆弱性があるということではないとした。




1

社内システムの情報がメールアカウント乗っ取りによって盗まれる

 クラウドサービスで今をときめく2社が登場した上記の事件で実際に行われたのは、むしろ古典的な推測によるパスワード・クラッキングに類した手法だった。しかも、乗っ取られたアカウントのパスワードはなんと「password」というものだったという。サービスの欠陥というよりも、アカウント管理をユーザまかせにした管理の拙劣さが目立った事例だ。しかし、企業システムの運用管理部門ではぞっとした人も多いことだろう。次のような危うさが読み取れるからだ。

ユーザアカウントの推測がメール以外のシステムに及ぶ可能性
 この事例には、メールアカウントが乗っ取られることでメールシステムはもちろんのこと、社員が常に利用しているさまざまなシステムのユーザIDやパスワードがかなり容易に推測されてしまいかねないことが改めて示されている。一般的なWebメールを利用するユーザが、社内システム用のパスワードと同じものを用いる可能性は否定できない。リモートからメールシステムはじめ各種社内システムにアクセスできる環境が用意されている会社では、そのパスワードによって多くのシステムへの侵入が可能になるかもしれない。

コンシューマ向けWebメールサービスのセキュリティへの不安
 また一般的なコンシューマ向けWebメールのパスワードリセットの仕組みにも問題はありそうだ。ユーザIDさえ手に入れられたらケースファイルの場合のように他人がリセットできる場合もあるし、「秘密の質問」などに答えられさえすればリセットできてしまう場合もある。社員のひとりひとりに危険性を認識してもらい安全なパスワードをシステム別に、公的にも私的にも利用することが徹底できれば不正を防げる可能性は高いが、完全なルール遵守を期待することはほとんど不可能だ。むしろ企業向けにセキュリティが考慮されていないWebメールやクラウドサービスでは、社内の機密を扱うメールや文書を取り扱うことを禁止するのが適切だ。もっともそれも実際には難しい。
 なお、誤解のないよう指摘しておくが、現在の企業向けWebメールサービスやメールのアウトソーシングサービスにおいてはセキュリティが重視されており、簡単にはパスワードがリセットできないようになっている。Google Appsでも企業向けのエディションでは、ドメイン管理者の承認がなければパスワードリセットは行えない。

セキュリティ情報局にご登録頂いた方限定で「事業計画の漏洩も!メールのリスク総ざらえ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

メールセキュリティ/事業計画の漏洩も!メールのリスク総ざらえ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「メールセキュリティ」関連情報をランダムに表示しています。

メールセキュリティ」関連の製品

FortiMail 【図研ネットウエイブ】 メール誤送信防止ソリューション「Active! gate」 【クオリティア】 標的型攻撃入口対策ソフト 「CipherCraft/Mail 標的型メール対策」 【エヌ・ティ・ティ・ソフトウェア】
その他ネットワークセキュリティ関連 メールセキュリティ メールセキュリティ
ビジネスに必要なメール機能をオールインワンで提供。1つの管理画面から各機能を統合的に管理できるため、導入コストを抑えつつ運用の手間も大幅に削減する。 上司承認(オプション)を含む7つのアプローチを1つの製品で実現するメール誤送信対策ソフトウェア。アプライアンス版も提供。ユーザがポリシー設定でき運用負荷も軽減。 受信メールに紛れ込む不審なメールをリアルタイムで検知・隔離し、受信する前に警告を出して注意を促すことで、標的型攻撃を未然に防ぐソフトウェア。

メールセキュリティ」関連の特集


情報漏洩や盗聴防止に役立つ「メール暗号化ツール」。クライアント型とゲートウェイ型、双方のベンダシェア…



危険物所持のメールは入れさせない、出させない。メールフィルタリングツール3分でおさらい!



 2015年6月、IPAがランサムウェアに関する注意喚起を促し、さらに同年末にvvvウィルスというラ…


メールセキュリティ」関連のセミナー

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 11月29日(火),12月14日(水)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

標的型攻撃はますます高度化・巧妙化しており、攻撃を防御するためには様々な対策を打つ必要があります。例えば、一見普通のメールについている添付ファイルやURLに罠が…

ランサムウェアやビジネスメール詐欺への最適な対策とは? 【テクマトリックス/日本プルーフポイント】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

90%以上の標的型攻撃はメールがきっかけとなっていることは周知の事実です。実際の被害は企業規模や地域に関係なく起きています。攻撃者は、取引先や同僚を装う巧みな文…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003467


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ