事業計画の漏洩も!メールのリスク総ざらえ

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

事業計画の漏洩も!メールのリスク総ざらえ

2010/03/02


 知らない相手からのメールや怪しい添付ファイルは絶対開いていないはずなのにウイルス感染して知らぬ間に情報が流出していたり、いつもの相手先からのメールだと思って開いてみたらフィッシングサイトへの誘導メールだったり……。攻撃手法やユーザのリテラシは変化しても、メールが攻撃の媒介役を果たしている状況は昔からあまり変わっていない。それどころか、WebメールやSNS、マイクロブロギングが悪用されるケースが増えており、リスクはむしろ増している。今回は、メールに関連して情報漏洩が起きたケースをカギに、メールにひそむ危険性を考えていく。

メールセキュリティ

#014

Twitter社の事業計画がGoogle Appsから漏洩!

 2009年7月、社員の個人情報や契約情報、事業計画等の機密であるはずの社内文書が複数のブログ運営者やメディアに送りつけられるという事件が発覚した。機密文書を所有していたのはアメリカのTwitter社、その文書を保管していたのはオンラインアプリケーションサービスであるGoogle Apps(米Google社)だった。いったい何が起きたのか?次のような状況が推測されている。
 発端はGmailアカウントのクラッキングだった。攻撃者はTwitterスタッフのGmailユーザ名を名前などから推測した。パスワードはわからなかったが、Googleアカウントのパスワードリセットする機能を利用した。
 このリセット機能では、登録されている正規ユーザのメールアドレスにリセット用のURLが届く仕組みになっている。その手順を説明する画面で登録メールアドレスは伏せ字(*)になっているとはいえ桁数や一部の文字はわかるようになっていた(***@h******.comのように)。ここから攻撃者はhotmailアカウントであることを推測し、Gmailアカウントのユーザ名を流用してアクセスしてみると、そのhotmailアカウントは無効になっていた。そこで攻撃者はそのhotmailアカウントを正規の手続きで取得し、Gmailのパスワードリセットを実行してリセット用のURLをhotmailアカウントで受け取ることに成功した。
 しかしそれでは本来のユーザがログインしたときに気づかれてしまう。そこで攻撃者はメールアーカイブを探索した。そこには他のサービスのためのパスワード通知メールがあった。そのパスワードがGmailにも使い回されていると判断した攻撃者は、そのパスワードに変更した。そのため、正規ユーザは何も気づかずにGmailを利用し続けることになった。Google AppsにはGmailアカウントでアクセスできるため、アップロードされている社内文書は自由に閲覧やダウンロードができた。一部は現実にダウンロードされ、まるで戦利品を自慢するかのようにブログ運営者などに送りつけられた。送りつけられたブログ運営者が、Twitter社にその旨を知らせ、乗っ取られたパスワードがリセットされるのを待って事件を公表したというのがことの顛末だ。また、Gmailアカウントを利用して、他のサービス(MobileMe、Amazon、iTunesなど)のためのパスワードも詐取された可能性もある。
 こうして攻撃者はメールアカウントを乗っ取って好き放題ないたずらをしたようだ。Twitter社では流出した文書の内容を詳しく発表していないが、大きな機密情報ではなかったとしている。またGoogle社ではこの事件の原因はパスワード管理の不備であるとし、Google Appsの脆弱性があるということではないとした。




1

社内システムの情報がメールアカウント乗っ取りによって盗まれる

 クラウドサービスで今をときめく2社が登場した上記の事件で実際に行われたのは、むしろ古典的な推測によるパスワード・クラッキングに類した手法だった。しかも、乗っ取られたアカウントのパスワードはなんと「password」というものだったという。サービスの欠陥というよりも、アカウント管理をユーザまかせにした管理の拙劣さが目立った事例だ。しかし、企業システムの運用管理部門ではぞっとした人も多いことだろう。次のような危うさが読み取れるからだ。

ユーザアカウントの推測がメール以外のシステムに及ぶ可能性
 この事例には、メールアカウントが乗っ取られることでメールシステムはもちろんのこと、社員が常に利用しているさまざまなシステムのユーザIDやパスワードがかなり容易に推測されてしまいかねないことが改めて示されている。一般的なWebメールを利用するユーザが、社内システム用のパスワードと同じものを用いる可能性は否定できない。リモートからメールシステムはじめ各種社内システムにアクセスできる環境が用意されている会社では、そのパスワードによって多くのシステムへの侵入が可能になるかもしれない。

コンシューマ向けWebメールサービスのセキュリティへの不安
 また一般的なコンシューマ向けWebメールのパスワードリセットの仕組みにも問題はありそうだ。ユーザIDさえ手に入れられたらケースファイルの場合のように他人がリセットできる場合もあるし、「秘密の質問」などに答えられさえすればリセットできてしまう場合もある。社員のひとりひとりに危険性を認識してもらい安全なパスワードをシステム別に、公的にも私的にも利用することが徹底できれば不正を防げる可能性は高いが、完全なルール遵守を期待することはほとんど不可能だ。むしろ企業向けにセキュリティが考慮されていないWebメールやクラウドサービスでは、社内の機密を扱うメールや文書を取り扱うことを禁止するのが適切だ。もっともそれも実際には難しい。
 なお、誤解のないよう指摘しておくが、現在の企業向けWebメールサービスやメールのアウトソーシングサービスにおいてはセキュリティが重視されており、簡単にはパスワードがリセットできないようになっている。Google Appsでも企業向けのエディションでは、ドメイン管理者の承認がなければパスワードリセットは行えない。

セキュリティ情報局にご登録頂いた方限定で「事業計画の漏洩も!メールのリスク総ざらえ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

メールセキュリティ/事業計画の漏洩も!メールのリスク総ざらえ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「メールセキュリティ」関連情報をランダムに表示しています。

メールセキュリティ」関連の製品

標的型メール攻撃対策ソリューション Active! zone 【クオリティア】 メールセキュリティソリューション Proofpoint 【双日システムズ】 標的型メール訓練サービス 【日立ソリューションズ】
メールセキュリティ メールセキュリティ メールセキュリティ
メールによるウイルスや標的型攻撃を無害化するソリューション。業務上必要なメール運用の妨げとならないような機能を搭載し、安全性と業務効率を両立する。 クラウド型サンドボックスによりメールを介した未知の標的型サイバー攻撃を検知し、悪意ある添付ファイルやURLをブロックする「Targeted Attack Protection」などを提供。 単に社員ごとの開封/未開封が確認できるだけでなく、業務にあわせたメール文面のカスタマイズや、開封してしまった後の教育までサポートする標的型メール訓練サービス。

メールセキュリティ」関連の特集


過失による情報漏洩の中で大きな割合を占めているメールによる誤送信。このメール誤送信に関する法的なリス…



 前回は、メール誤送信の典型的な例と、なぜ発生するのかについて掘り下げた。今回は、既にメール誤送信対…



どこまでやるべきか悩ましいクライアントセキュリティ対策。今回は効果的な対策のために役立つフレームワー…


メールセキュリティ」関連のセミナー

サイバー攻撃への秘策は“無害化”と“AI”で決まり! 【ヴイ・インターネットオペレーションズ/グローバルセキュリティエキスパート/キヤノンITソリューションズ/ソフォス】 締切間近 

開催日 10月18日(水)   開催地 東京都   参加費 無料

ますます高度化・巧妙化する標的型攻撃やランサムウェアへの対策に注目が集まっていますが、効果的な対策として示される“多層防御”にも複数社の製品を二重三重に導入する…

サイバー攻撃の動向と対策解 【NRIセキュアテクノロジーズ/日本プルーフポイント/マクニカネットワークス/FFRI】  

開催日 11月29日(水)   開催地 福岡県   参加費 無料

ランサムウェア、標的型攻撃などサイバー攻撃は高度化、多様化し、被害は拡大する一方で、各企業で喫緊に取り組むべき経営課題のひとつとなっています。そのような状況の中…

Office 365ではじめる働き方改革とメールセキュリティ徹底解説 【主催:インターネットイニシアティブ 共催:日本マイクロソフト】 締切間近 

開催日 10月20日(金)   開催地 福岡県   参加費 無料

働き方改革、運用負荷やコストの削減、セキュリティ強化の手段として、メールのクラウド化を検討されてみませんか?本セミナーでは、 多くの企業の働き方改革を支えている…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003467


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ