事業計画の漏洩も!メールのリスク総ざらえ

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

事業計画の漏洩も!メールのリスク総ざらえ

2010/03/02


 知らない相手からのメールや怪しい添付ファイルは絶対開いていないはずなのにウイルス感染して知らぬ間に情報が流出していたり、いつもの相手先からのメールだと思って開いてみたらフィッシングサイトへの誘導メールだったり……。攻撃手法やユーザのリテラシは変化しても、メールが攻撃の媒介役を果たしている状況は昔からあまり変わっていない。それどころか、WebメールやSNS、マイクロブロギングが悪用されるケースが増えており、リスクはむしろ増している。今回は、メールに関連して情報漏洩が起きたケースをカギに、メールにひそむ危険性を考えていく。

メールセキュリティ

#014

Twitter社の事業計画がGoogle Appsから漏洩!

 2009年7月、社員の個人情報や契約情報、事業計画等の機密であるはずの社内文書が複数のブログ運営者やメディアに送りつけられるという事件が発覚した。機密文書を所有していたのはアメリカのTwitter社、その文書を保管していたのはオンラインアプリケーションサービスであるGoogle Apps(米Google社)だった。いったい何が起きたのか?次のような状況が推測されている。
 発端はGmailアカウントのクラッキングだった。攻撃者はTwitterスタッフのGmailユーザ名を名前などから推測した。パスワードはわからなかったが、Googleアカウントのパスワードリセットする機能を利用した。
 このリセット機能では、登録されている正規ユーザのメールアドレスにリセット用のURLが届く仕組みになっている。その手順を説明する画面で登録メールアドレスは伏せ字(*)になっているとはいえ桁数や一部の文字はわかるようになっていた(***@h******.comのように)。ここから攻撃者はhotmailアカウントであることを推測し、Gmailアカウントのユーザ名を流用してアクセスしてみると、そのhotmailアカウントは無効になっていた。そこで攻撃者はそのhotmailアカウントを正規の手続きで取得し、Gmailのパスワードリセットを実行してリセット用のURLをhotmailアカウントで受け取ることに成功した。
 しかしそれでは本来のユーザがログインしたときに気づかれてしまう。そこで攻撃者はメールアーカイブを探索した。そこには他のサービスのためのパスワード通知メールがあった。そのパスワードがGmailにも使い回されていると判断した攻撃者は、そのパスワードに変更した。そのため、正規ユーザは何も気づかずにGmailを利用し続けることになった。Google AppsにはGmailアカウントでアクセスできるため、アップロードされている社内文書は自由に閲覧やダウンロードができた。一部は現実にダウンロードされ、まるで戦利品を自慢するかのようにブログ運営者などに送りつけられた。送りつけられたブログ運営者が、Twitter社にその旨を知らせ、乗っ取られたパスワードがリセットされるのを待って事件を公表したというのがことの顛末だ。また、Gmailアカウントを利用して、他のサービス(MobileMe、Amazon、iTunesなど)のためのパスワードも詐取された可能性もある。
 こうして攻撃者はメールアカウントを乗っ取って好き放題ないたずらをしたようだ。Twitter社では流出した文書の内容を詳しく発表していないが、大きな機密情報ではなかったとしている。またGoogle社ではこの事件の原因はパスワード管理の不備であるとし、Google Appsの脆弱性があるということではないとした。




1

社内システムの情報がメールアカウント乗っ取りによって盗まれる

 クラウドサービスで今をときめく2社が登場した上記の事件で実際に行われたのは、むしろ古典的な推測によるパスワード・クラッキングに類した手法だった。しかも、乗っ取られたアカウントのパスワードはなんと「password」というものだったという。サービスの欠陥というよりも、アカウント管理をユーザまかせにした管理の拙劣さが目立った事例だ。しかし、企業システムの運用管理部門ではぞっとした人も多いことだろう。次のような危うさが読み取れるからだ。

ユーザアカウントの推測がメール以外のシステムに及ぶ可能性
 この事例には、メールアカウントが乗っ取られることでメールシステムはもちろんのこと、社員が常に利用しているさまざまなシステムのユーザIDやパスワードがかなり容易に推測されてしまいかねないことが改めて示されている。一般的なWebメールを利用するユーザが、社内システム用のパスワードと同じものを用いる可能性は否定できない。リモートからメールシステムはじめ各種社内システムにアクセスできる環境が用意されている会社では、そのパスワードによって多くのシステムへの侵入が可能になるかもしれない。

コンシューマ向けWebメールサービスのセキュリティへの不安
 また一般的なコンシューマ向けWebメールのパスワードリセットの仕組みにも問題はありそうだ。ユーザIDさえ手に入れられたらケースファイルの場合のように他人がリセットできる場合もあるし、「秘密の質問」などに答えられさえすればリセットできてしまう場合もある。社員のひとりひとりに危険性を認識してもらい安全なパスワードをシステム別に、公的にも私的にも利用することが徹底できれば不正を防げる可能性は高いが、完全なルール遵守を期待することはほとんど不可能だ。むしろ企業向けにセキュリティが考慮されていないWebメールやクラウドサービスでは、社内の機密を扱うメールや文書を取り扱うことを禁止するのが適切だ。もっともそれも実際には難しい。
 なお、誤解のないよう指摘しておくが、現在の企業向けWebメールサービスやメールのアウトソーシングサービスにおいてはセキュリティが重視されており、簡単にはパスワードがリセットできないようになっている。Google Appsでも企業向けのエディションでは、ドメイン管理者の承認がなければパスワードリセットは行えない。

セキュリティ情報局にご登録頂いた方限定で「事業計画の漏洩も!メールのリスク総ざらえ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

メールセキュリティ/事業計画の漏洩も!メールのリスク総ざらえ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「メールセキュリティ」関連情報をランダムに表示しています。

メールセキュリティ」関連の製品

メール誤送信防止ソフトウェア「CipherCraft/Mail」 【NTTソフトウェア】 CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】 標的型攻撃入口対策ソフト 「CipherCraft/Mail 標的型メール対策」 【エヌ・ティ・ティ・ソフトウェア】
メールセキュリティ メールセキュリティ メールセキュリティ
・9年連続シェアNo.1のメール誤送信防止・暗号化ソフトウェア
・メール送信前に確認画面で、うっかりミスによるメール誤送信を未然に防止
送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。
受信メールに紛れ込む不審なメールをリアルタイムで検知・隔離し、受信する前に警告を出して注意を促すことで、標的型攻撃を未然に防ぐソフトウェア。

メールセキュリティ」関連の特集


前回の第3回で考察したとおり、スパムメール対策の構成においては、オンプレミス型(構築型)とSaaS型…



グループウェアはクラウド移行への手始めとして最適かもしれない。しかし、企業におけるグループウェアの利…



「100年に1度」の厳しい経済環境を生き抜くヒントはSaaSにあり!今回は「持たざるIT」SaaSの…


メールセキュリティ」関連のセミナー

Security Days Nagoya 2017 【ナノオプト・メディア】 締切間近 

開催日 2月23日(木)   開催地 愛知県   参加費 無料

高度化・巧妙化する最新のサイバー攻撃への対処や対策について、様々な企業の事例を中心に全14セッションで解説!━━━━━━━━━━━━━━━━━━━━━━━━━━…

Office 365ではじめるメールセキュリティ徹底解説(東京開催) 【主催:インターネットイニシアティブ 共催:日本マイクロソフト】 締切間近 

開催日 2月27日(月)   開催地 東京都   参加費 無料

働き方改革、運用負荷やコストの削減、セキュリティ強化の手段 として、メールのクラウド化を検討されてみませんか?本セミナーでは、 様々な企業に採用されている Of…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 1月13日(金),2月9日(木),3月10日(金)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003467


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ