まさか…
情報が洩れている

Cさん　男性　3０代

同業他社に盗聴されている！

本当にサイバー攻撃なの？

以下、依頼者の会社を「C 社」と言います。
C 社の社長および役員さん達と詳しくヒアリングをしたところ、怪文書等の明らかに異常な現象があることから、何か良くないことが起こっているのは間違いなさそうです。
しかしそれがサイバー攻撃によるものだとは断定できません。なぜならばIT と無関係なことが原因である可能性もあるからです。例えば従業員や委託先業者等が情報を漏らしているとか、従業員の自作自演だとか。

依頼者の要望

C 社は犯人探しや法的措置までは望んでいませんでした。会社設立後間もないため資金面でゆとりがないので、調査費用や弁護士報酬を捻出するのが苦しいということで。そして「できるだけ費用を抑えてどうにかして欲しい。」と、なかなか面倒臭い要望を突きつけられて…。お断りするという選択肢が頭に浮かびましたが、担当についたC 社の女性社員が美人だったせいで、判断を誤り、「お任せ下さい」と答えてしまいました。

想像に基づくセキュリティ対策

予算がないのでデジタル・フォレンジック等ができないため、情報漏洩の原因を特定することができません。そのため、C 社の社員と一緒になって情報漏洩のシーンをあれこれ想像し、原因になり得る箇所を仮定して、そこに対するセキュリティ対策を行うこととしました。
しかしC 社にはIT 担当者がおらず、社内の設備の構成やIT 関連サービスの利用状況を把握している人がいないため、まずはそこから確認していくこととなりました。

杜撰な設備管理

パソコンやネットワーク等の導入・設置は全て外部委託したそうです。しかしその業者が“ハズレ” だったのか、設定や設置状態が理解し難いほど酷いものでした。

• ①ID・パスワードのメモが端末に貼ってあったり。
• ②パスワード認証が無効にされていたり。
• ③設置状態が酷く、熱暴走しているノードもあったり。
• ④社内に無施錠のWi-Fi アクセスポイントが存在するが、それが何なのか、どこにあるのか誰も分からない。

最低なIT リテラシー

小企業のセキュリティ意識の低さに驚かされることがよくありますが、C 社もそうでした。業務用端末をプライベートに使用したり、フィッシングに引っかかったり、来客の端末を社員と同じLAN に繋げたり…

想像が無限に広がる…

杜撰な管理、最低なIT リテラシー。セキュリティレベルが低いというより、セキュリティが存在しないに等しいと言えるような状態でした。そのため漏洩シーンの想像が無限に展開され、ありとあらゆる可能性が考えられ、このままではキリがありません。

トライアル＆エラーで行こう

運用状況を掘れば掘るほど際限なく問題点が出てくるので、一度で完璧に対応するのは困難と判断し、C 社と協議のうえ「トライアル＆エラーで行こう」という方針になりました。一つの施策を試してみて、それでも漏洩するようならば、また追加で新たな施策を考えて試して行こう、というように。

とりあえずウイルスチェック

当社はウイルスの可能性は低いだろうと見ていましたが、C 社がウイルスの検査を強く望んだので、とりあえず簡易的にマルウェア検査を実施しました。

通常のウイルス対策アプリでは不安なので、CD ブートするタイプのウイルススキャンを複数種類実施し、いずれも異常はないことを確認しました。

メールサーバの使用制限

C 社は、ホームページ制作の個人事業主にWeb とメールの管理を委託しているそうで、しかもその委託先は元会社の社長と数年の付き合いがあるという。怪しい匂いがプンプンします。応急処置として当該メールサーバはメインで使用せず、Gmail をメインとするように変更。

嫌がらせが収まった

Gmail に変更した後、あえて元社長を挑発するような行動をしてみたそうですが、特に元社長からの反応は無いとのこと。不確かですが、メールサーバが覗かれていたのではないかという推測に至りました。

今後のために

情報セキュリティに関する解説書や手引書など、セキュリティベンダーやNPO などが無料で配布している資料がたくさんあります。C 社はあまりにもIT に疎かったので、それらの資料を幾つかピックアップして印刷し、報告書の提出と同時にお渡ししました。それを読むかどうかは分かりませんが…。