事業計画の漏洩も!メールのリスク総ざらえ

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

事業計画の漏洩も!メールのリスク総ざらえ

2010/03/02


 知らない相手からのメールや怪しい添付ファイルは絶対開いていないはずなのにウイルス感染して知らぬ間に情報が流出していたり、いつもの相手先からのメールだと思って開いてみたらフィッシングサイトへの誘導メールだったり……。攻撃手法やユーザのリテラシは変化しても、メールが攻撃の媒介役を果たしている状況は昔からあまり変わっていない。それどころか、WebメールやSNS、マイクロブロギングが悪用されるケースが増えており、リスクはむしろ増している。今回は、メールに関連して情報漏洩が起きたケースをカギに、メールにひそむ危険性を考えていく。

メールセキュリティ

#014

Twitter社の事業計画がGoogle Appsから漏洩!

 2009年7月、社員の個人情報や契約情報、事業計画等の機密であるはずの社内文書が複数のブログ運営者やメディアに送りつけられるという事件が発覚した。機密文書を所有していたのはアメリカのTwitter社、その文書を保管していたのはオンラインアプリケーションサービスであるGoogle Apps(米Google社)だった。いったい何が起きたのか?次のような状況が推測されている。
 発端はGmailアカウントのクラッキングだった。攻撃者はTwitterスタッフのGmailユーザ名を名前などから推測した。パスワードはわからなかったが、Googleアカウントのパスワードリセットする機能を利用した。
 このリセット機能では、登録されている正規ユーザのメールアドレスにリセット用のURLが届く仕組みになっている。その手順を説明する画面で登録メールアドレスは伏せ字(*)になっているとはいえ桁数や一部の文字はわかるようになっていた(***@h******.comのように)。ここから攻撃者はhotmailアカウントであることを推測し、Gmailアカウントのユーザ名を流用してアクセスしてみると、そのhotmailアカウントは無効になっていた。そこで攻撃者はそのhotmailアカウントを正規の手続きで取得し、Gmailのパスワードリセットを実行してリセット用のURLをhotmailアカウントで受け取ることに成功した。
 しかしそれでは本来のユーザがログインしたときに気づかれてしまう。そこで攻撃者はメールアーカイブを探索した。そこには他のサービスのためのパスワード通知メールがあった。そのパスワードがGmailにも使い回されていると判断した攻撃者は、そのパスワードに変更した。そのため、正規ユーザは何も気づかずにGmailを利用し続けることになった。Google AppsにはGmailアカウントでアクセスできるため、アップロードされている社内文書は自由に閲覧やダウンロードができた。一部は現実にダウンロードされ、まるで戦利品を自慢するかのようにブログ運営者などに送りつけられた。送りつけられたブログ運営者が、Twitter社にその旨を知らせ、乗っ取られたパスワードがリセットされるのを待って事件を公表したというのがことの顛末だ。また、Gmailアカウントを利用して、他のサービス(MobileMe、Amazon、iTunesなど)のためのパスワードも詐取された可能性もある。
 こうして攻撃者はメールアカウントを乗っ取って好き放題ないたずらをしたようだ。Twitter社では流出した文書の内容を詳しく発表していないが、大きな機密情報ではなかったとしている。またGoogle社ではこの事件の原因はパスワード管理の不備であるとし、Google Appsの脆弱性があるということではないとした。




1

社内システムの情報がメールアカウント乗っ取りによって盗まれる

 クラウドサービスで今をときめく2社が登場した上記の事件で実際に行われたのは、むしろ古典的な推測によるパスワード・クラッキングに類した手法だった。しかも、乗っ取られたアカウントのパスワードはなんと「password」というものだったという。サービスの欠陥というよりも、アカウント管理をユーザまかせにした管理の拙劣さが目立った事例だ。しかし、企業システムの運用管理部門ではぞっとした人も多いことだろう。次のような危うさが読み取れるからだ。

ユーザアカウントの推測がメール以外のシステムに及ぶ可能性
 この事例には、メールアカウントが乗っ取られることでメールシステムはもちろんのこと、社員が常に利用しているさまざまなシステムのユーザIDやパスワードがかなり容易に推測されてしまいかねないことが改めて示されている。一般的なWebメールを利用するユーザが、社内システム用のパスワードと同じものを用いる可能性は否定できない。リモートからメールシステムはじめ各種社内システムにアクセスできる環境が用意されている会社では、そのパスワードによって多くのシステムへの侵入が可能になるかもしれない。

コンシューマ向けWebメールサービスのセキュリティへの不安
 また一般的なコンシューマ向けWebメールのパスワードリセットの仕組みにも問題はありそうだ。ユーザIDさえ手に入れられたらケースファイルの場合のように他人がリセットできる場合もあるし、「秘密の質問」などに答えられさえすればリセットできてしまう場合もある。社員のひとりひとりに危険性を認識してもらい安全なパスワードをシステム別に、公的にも私的にも利用することが徹底できれば不正を防げる可能性は高いが、完全なルール遵守を期待することはほとんど不可能だ。むしろ企業向けにセキュリティが考慮されていないWebメールやクラウドサービスでは、社内の機密を扱うメールや文書を取り扱うことを禁止するのが適切だ。もっともそれも実際には難しい。
 なお、誤解のないよう指摘しておくが、現在の企業向けWebメールサービスやメールのアウトソーシングサービスにおいてはセキュリティが重視されており、簡単にはパスワードがリセットできないようになっている。Google Appsでも企業向けのエディションでは、ドメイン管理者の承認がなければパスワードリセットは行えない。

セキュリティ情報局にご登録頂いた方限定で「事業計画の漏洩も!メールのリスク総ざらえ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

メールセキュリティ/事業計画の漏洩も!メールのリスク総ざらえ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「メールセキュリティ」関連情報をランダムに表示しています。

メールセキュリティ」関連の製品

「Office 365」のメールセキュリティ、対策コストで息切れしないためには? 【日本プルーフポイント】 メールセキュリティソリューション Proofpoint 【双日システムズ】 EU「GDPR」施行に備える、情報漏えい防止プロセスの4段階 【シマンテック】
メールセキュリティ メールセキュリティ メールセキュリティ
「Office 365」のメールセキュリティ、対策コストで息切れしないためには? クラウド型サンドボックスによりメールを介した未知の標的型サイバー攻撃を検知し、悪意ある添付ファイルやURLをブロックする「Targeted Attack Protection」などを提供。 EU「GDPR」施行に備える、情報漏えい防止プロセスの4段階

メールセキュリティ」関連の特集


「境界領域」、「内部ネットワーク」、「エンドポイント」に分け、それぞれでチェックすべきセキュリティ…



スパムメールの削除に時間をとられうんざり…という人は多い。そこでスパムメールを効果的に削減する方法を…



IT担当764人対象に「メール誤送信防止システムの導入状況」を調査。導入状況や必要機能、メール誤送信…


メールセキュリティ」関連のセミナー

ネットワークセキュリティ概説 【日本ネットワークインフォメーションセンター】  

開催日 2月6日(火)   開催地 東京都   参加費 有料 5000円(税込)

●概要: ネットワークセキュリティの基本概念について体系的に理解することのできる講座です。本講座では、 インターネットとセキュリティの概念を整理し技術的な要素の…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003467


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ