知人がメールを送ってきました。参考にしてください。
JTBで大量の個人情報流出がありました。現代のサラリーマンは、非常に危険
な立場に立たされているかもしれません。これで多くの企業がウィルス感染への
対策をとるでしょうが、中には「朝礼でセキュリティに気を配るよう訓示する」
「大きな声で訓示、大きな返事をさせる」「訓示の回数を増やす」で終わるとこ
ろもあるかもしれません。もしそれだけの対策しかなされない中で、会社の命運
を左右するような流出事故を起こしたら、その社員はアウトです。
食品工場で食中毒が起こったとします。原因は体調が悪いにもかかわらず出社し
た人がいたからかもしれません。とにかく工場は操業停止。保健所の検査と調査
が行われ、改善勧告とそれに対する計画書が提出されます。責任は当人だけでな
く、その上司、経営陣まで及びます。
流出事故の場合は、一切のネット接続を断つというような処置は取られません。
いずれ事故の発表とお詫びの記者会見、そして何らかの対策がとられるでしょう
が、その間十中八九、事故時と同じ対応のまま放置されます。犯人にとっては、
クラッキングがうまくいったら、直後は、その会社に対して全く同じ手法が通じ
るということを意味し、社員は狙い撃ちの集中砲火に、何の援護もなくさらされ
ます。
JTBのクラッキングは昔からある伝統的な手法の応用です。最初に定食屋にい
たサラリーマンの胸の社員証から、社名、部署、姓名を覚えます。次に電話をか
けて本人を呼び出しこう言います。
「総務部ですが、**年度の社会保険制度の改正で、あなたに還付金が発生しま
す。手続きはこちらでしますので、本人確認をお願いします。生年月日は?」
これでけっこうな確率で社内システムのパスワードが手にはいります。
JTBでは大口顧客の名前を騙ったメールだったので、今後は添付ファイル付き
のメールを区別するなどの処置がとられるかもしれませんが、犯人にとってはこ
れ幸い。顧客を名乗って「最近当社からのメールが届かない」とクレームの電話
を入れれば、その差出人名のメールだけは届くようになり、狙いが絞りやすくな
るでしょう。
企業の流出対策には、「これさえやっておけば安心」という手法を求める心理が
あります。犯人からすれば、どんな対策をとられたにせよ、安心している相手は
理想的なカモです。本当に必要なのは、狡猾で卑劣な犯人と、終わりのない泥仕
合を続ける覚悟です。
企業は早急に「これに従っていれば、事故の際も社員の責任が問われない」メー
ル操作手順を作り、実際の操作研修を繰り返し行い、研修修了者に危険物取り扱
いに準ずる手当を支給する必要があります。コンサルタントや新システムを入れ
て安心しているような会社では、社員は犯人と会社の無理解という、危険の板挟
みになっていると言っていいでしょう。
とにかくWindowsはいろんな不可解な事が起きる。差出人にMicrosoft Partnerとか、いかにもマイクロソフトからのようなメールや、ネットを開けば「PCの速度を早くする」とか、「あなたのPCは危険な状態」とか?買ったばかりのPCのドライブが満杯のはずもないのに、あの手この手で仕掛けて来る。最近では外国からもReメールが来るが、即、削除している。出した覚えもない相手からのReはあり得ないからだ。余りにも色々な事が起きるのでデスクトップの1台は、ほとんど使わず予備機にした。現在ではi MacにWindowsとMachintosh切り替えに変えた。不審メールは相変わらずだが、少なくてもネット使用時には、この方が攻撃もほとんどなくなった。
情報管理と言っても企業に余程の達人が居ない限り、システムは全て外注や有能な派遣にさせている場合が多い。たとえ達人が社員に居たとしてもいつ退職するかも知れず、情報管理は難しい。顧客リストを管理していてもDMなどの宛名ラベル出力時点で既に個人情報は明るみにさらされている。しかもそれらを扱うのは個人情報保護マーク取得の外部の専門業者だが、その作業員はパートだったりする。個人情報保護管理は形式だけで安心していたり、お決まりのマニアル通りに印を押して安心しきっている場合が多い。作業現場や社員と言えども末端ではずさんな場合が現実だろう。従って流失はいつでも簡単に起きる状態にある。確実に保護するのなら社員のモラル向上と一切外部委託せず内部処理をしない限りムリだろう。但し本気でやる気があればだが。
こんな事はあってはならないが、もしも、DMを大量に発送依頼したとしょう。今回は余り効果が無かったと思っていたら、1万通ものDMの3分の1程度しか出されていなかったとしたら?。それとも出す前にラベルがコピーされていたとしたら?これも個人情報の大量流失につながる。
データの流失はもっと悲惨だ。内容が詳細に分類されていて悪用されれば危険さえ伴う。学童あてのDMデータが大量流失した事件もあった。DMを扱う場合はむしろ大きなメール業者に発注するよりこじんまりした内職を管理したほうが目が届き安全だ。組織が大きくなれば安心と考えがちだが、大きいところほど危険だ。すべて正社員が扱うとは限らないからだ。表の顔でだけでは中身は見えない。信頼できるとしたら、見える範囲でしか無い。
PCを遠隔操作するソフトをメールで送り付けて、開かせて自動インストール。その後はPCが勝手に操作されて情報などが抜き取られる。PCの前に人が居ないときを狙って遠隔操作するのだろうが、そんなPCの点けっぱなしは危険。もしカーソルのポインターが動いたらソフトを探してアンインストールをしなければ永久に狙われる。個人情報の大量データに限らず、最近ではストーカー殺人なども頻繁に起きているので、覗かれないよう気を付けたい。手口としては、PCのメーカーがわかれば、メーカーに成りすまし、技術サポートを装ってバージョンアップなどの理由をつけてインストールさせる方法だ。そんなメールが来たら、メーカーで確認したほうが良い。オレオレ詐欺と全く同じで相手が見えないから、つい騙されてしまう。