事業計画の漏洩も!メールのリスク総ざらえ

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

事業計画の漏洩も!メールのリスク総ざらえ

2010/03/02


 知らない相手からのメールや怪しい添付ファイルは絶対開いていないはずなのにウイルス感染して知らぬ間に情報が流出していたり、いつもの相手先からのメールだと思って開いてみたらフィッシングサイトへの誘導メールだったり……。攻撃手法やユーザのリテラシは変化しても、メールが攻撃の媒介役を果たしている状況は昔からあまり変わっていない。それどころか、WebメールやSNS、マイクロブロギングが悪用されるケースが増えており、リスクはむしろ増している。今回は、メールに関連して情報漏洩が起きたケースをカギに、メールにひそむ危険性を考えていく。

メールセキュリティ

#014

Twitter社の事業計画がGoogle Appsから漏洩!

 2009年7月、社員の個人情報や契約情報、事業計画等の機密であるはずの社内文書が複数のブログ運営者やメディアに送りつけられるという事件が発覚した。機密文書を所有していたのはアメリカのTwitter社、その文書を保管していたのはオンラインアプリケーションサービスであるGoogle Apps(米Google社)だった。いったい何が起きたのか?次のような状況が推測されている。
 発端はGmailアカウントのクラッキングだった。攻撃者はTwitterスタッフのGmailユーザ名を名前などから推測した。パスワードはわからなかったが、Googleアカウントのパスワードリセットする機能を利用した。
 このリセット機能では、登録されている正規ユーザのメールアドレスにリセット用のURLが届く仕組みになっている。その手順を説明する画面で登録メールアドレスは伏せ字(*)になっているとはいえ桁数や一部の文字はわかるようになっていた(***@h******.comのように)。ここから攻撃者はhotmailアカウントであることを推測し、Gmailアカウントのユーザ名を流用してアクセスしてみると、そのhotmailアカウントは無効になっていた。そこで攻撃者はそのhotmailアカウントを正規の手続きで取得し、Gmailのパスワードリセットを実行してリセット用のURLをhotmailアカウントで受け取ることに成功した。
 しかしそれでは本来のユーザがログインしたときに気づかれてしまう。そこで攻撃者はメールアーカイブを探索した。そこには他のサービスのためのパスワード通知メールがあった。そのパスワードがGmailにも使い回されていると判断した攻撃者は、そのパスワードに変更した。そのため、正規ユーザは何も気づかずにGmailを利用し続けることになった。Google AppsにはGmailアカウントでアクセスできるため、アップロードされている社内文書は自由に閲覧やダウンロードができた。一部は現実にダウンロードされ、まるで戦利品を自慢するかのようにブログ運営者などに送りつけられた。送りつけられたブログ運営者が、Twitter社にその旨を知らせ、乗っ取られたパスワードがリセットされるのを待って事件を公表したというのがことの顛末だ。また、Gmailアカウントを利用して、他のサービス(MobileMe、Amazon、iTunesなど)のためのパスワードも詐取された可能性もある。
 こうして攻撃者はメールアカウントを乗っ取って好き放題ないたずらをしたようだ。Twitter社では流出した文書の内容を詳しく発表していないが、大きな機密情報ではなかったとしている。またGoogle社ではこの事件の原因はパスワード管理の不備であるとし、Google Appsの脆弱性があるということではないとした。




1

社内システムの情報がメールアカウント乗っ取りによって盗まれる

 クラウドサービスで今をときめく2社が登場した上記の事件で実際に行われたのは、むしろ古典的な推測によるパスワード・クラッキングに類した手法だった。しかも、乗っ取られたアカウントのパスワードはなんと「password」というものだったという。サービスの欠陥というよりも、アカウント管理をユーザまかせにした管理の拙劣さが目立った事例だ。しかし、企業システムの運用管理部門ではぞっとした人も多いことだろう。次のような危うさが読み取れるからだ。

ユーザアカウントの推測がメール以外のシステムに及ぶ可能性
 この事例には、メールアカウントが乗っ取られることでメールシステムはもちろんのこと、社員が常に利用しているさまざまなシステムのユーザIDやパスワードがかなり容易に推測されてしまいかねないことが改めて示されている。一般的なWebメールを利用するユーザが、社内システム用のパスワードと同じものを用いる可能性は否定できない。リモートからメールシステムはじめ各種社内システムにアクセスできる環境が用意されている会社では、そのパスワードによって多くのシステムへの侵入が可能になるかもしれない。

コンシューマ向けWebメールサービスのセキュリティへの不安
 また一般的なコンシューマ向けWebメールのパスワードリセットの仕組みにも問題はありそうだ。ユーザIDさえ手に入れられたらケースファイルの場合のように他人がリセットできる場合もあるし、「秘密の質問」などに答えられさえすればリセットできてしまう場合もある。社員のひとりひとりに危険性を認識してもらい安全なパスワードをシステム別に、公的にも私的にも利用することが徹底できれば不正を防げる可能性は高いが、完全なルール遵守を期待することはほとんど不可能だ。むしろ企業向けにセキュリティが考慮されていないWebメールやクラウドサービスでは、社内の機密を扱うメールや文書を取り扱うことを禁止するのが適切だ。もっともそれも実際には難しい。
 なお、誤解のないよう指摘しておくが、現在の企業向けWebメールサービスやメールのアウトソーシングサービスにおいてはセキュリティが重視されており、簡単にはパスワードがリセットできないようになっている。Google Appsでも企業向けのエディションでは、ドメイン管理者の承認がなければパスワードリセットは行えない。

セキュリティ情報局にご登録頂いた方限定で「事業計画の漏洩も!メールのリスク総ざらえ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

メールセキュリティ/事業計画の漏洩も!メールのリスク総ざらえ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「メールセキュリティ」関連情報をランダムに表示しています。

メールセキュリティ」関連の製品

標的型攻撃対策・メール無害化ソリューション 【サイバーソリューションズ】 Enterprise Mobility + Security 【日本マイクロソフト】 標的型メール攻撃対策ソリューション Active! zone 【クオリティア】
メールセキュリティ メールセキュリティ メールセキュリティ
標的型攻撃を阻止する新たな手法「インターネット分離」と「メールの無害化」。
セキュリティリスクを最小限に抑え、業務効率を損なわないメール無害化ソリューション。
「Office 365」をモバイル端末でフル活用――カギは低コストのセキュリティ強化 メールによるウイルスや標的型攻撃を無害化するソリューション。業務上必要なメール運用の妨げとならないような機能を搭載し、安全性と業務効率を両立する。

メールセキュリティ」関連の特集


前回の第3回で考察したとおり、スパムメール対策の構成においては、オンプレミス型(構築型)とSaaS型…



 前回までは、スパムメールの脅威と有効な対策についてみてきた。第3回の今回は、システムの耐障害性と拡…



たった一通のメール誤送信で、企業存続の危機にまで発展することもある昨今、メール誤送信防止システムのニ…


メールセキュリティ」関連のセミナー

【大阪開催】ほぼ実録!標的型攻撃の実態と対策 【主催:オージス総研/協賛:ソフトバンク/協力:オープンソース活用研究所】  

開催日 6月9日(金)   開催地 大阪府   参加費 無料

【企業や組織として押さえておきたい大事な2つのポイント】昨今、特定の組織や個人を狙って情報窃取等を行う標的型攻撃による被害が増えています。その攻撃手法は巧妙でセ…

分離・無害化技術によりマルウェアを100%防御する方法 【NRIセキュアテクノロジーズ/ブロード/マクニカネットワークス】  

開催日 6月22日(木)   開催地 東京都   参加費 無料

ますます高度化、巧妙化するサイバー攻撃。サンドボックスをかいくぐるマルウェアなど新たな脅威が増え続ける中、従来の検知・除去や社員教育の徹底では、限界を感じている…

標的型メール攻撃から自社を守る具体的手段とは 【NRIセキュアテクノロジーズ】  

開催日 6月16日(金)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003467


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ