知人がメールを送ってきました。参考にしてください。
JTBで大量の個人情報流出がありました。現代のサラリーマンは、非常に危険
な立場に立たされているかもしれません。これで多くの企業がウィルス感染への
対策をとるでしょうが、中には「朝礼でセキュリティに気を配るよう訓示する」
「大きな声で訓示、大きな返事をさせる」「訓示の回数を増やす」で終わるとこ
ろもあるかもしれません。もしそれだけの対策しかなされない中で、会社の命運
を左右するような流出事故を起こしたら、その社員はアウトです。
食品工場で食中毒が起こったとします。原因は体調が悪いにもかかわらず出社し
た人がいたからかもしれません。とにかく工場は操業停止。保健所の検査と調査
が行われ、改善勧告とそれに対する計画書が提出されます。責任は当人だけでな
く、その上司、経営陣まで及びます。
流出事故の場合は、一切のネット接続を断つというような処置は取られません。
いずれ事故の発表とお詫びの記者会見、そして何らかの対策がとられるでしょう
が、その間十中八九、事故時と同じ対応のまま放置されます。犯人にとっては、
クラッキングがうまくいったら、直後は、その会社に対して全く同じ手法が通じ
るということを意味し、社員は狙い撃ちの集中砲火に、何の援護もなくさらされ
ます。
JTBのクラッキングは昔からある伝統的な手法の応用です。最初に定食屋にい
たサラリーマンの胸の社員証から、社名、部署、姓名を覚えます。次に電話をか
けて本人を呼び出しこう言います。
「総務部ですが、**年度の社会保険制度の改正で、あなたに還付金が発生しま
す。手続きはこちらでしますので、本人確認をお願いします。生年月日は?」
これでけっこうな確率で社内システムのパスワードが手にはいります。
JTBでは大口顧客の名前を騙ったメールだったので、今後は添付ファイル付き
のメールを区別するなどの処置がとられるかもしれませんが、犯人にとってはこ
れ幸い。顧客を名乗って「最近当社からのメールが届かない」とクレームの電話
を入れれば、その差出人名のメールだけは届くようになり、狙いが絞りやすくな
るでしょう。
企業の流出対策には、「これさえやっておけば安心」という手法を求める心理が
あります。犯人からすれば、どんな対策をとられたにせよ、安心している相手は
理想的なカモです。本当に必要なのは、狡猾で卑劣な犯人と、終わりのない泥仕
合を続ける覚悟です。
企業は早急に「これに従っていれば、事故の際も社員の責任が問われない」メー
ル操作手順を作り、実際の操作研修を繰り返し行い、研修修了者に危険物取り扱
いに準ずる手当を支給する必要があります。コンサルタントや新システムを入れ
て安心しているような会社では、社員は犯人と会社の無理解という、危険の板挟
みになっていると言っていいでしょう。
