大手企業16億件のメアドとパスのセット漏洩を防御視点で考えてみる
やはりセキュリティマネジメントはパスワードに終始するのでしょうか?
と言っても、メアドとパスの組合せ(ちゃんと使えるという前提)
で漏れてしまうと、たとえ20文字近い難解なパスでも関係なく文字データとして漏れます。じゃあどうしますかね?
スクープ パスワード16億件の流出を確認:日経ビジネスONLINEより
ソニーグループ1万7695件、東芝グループ1万635件、トヨタ自動車グループ8194件……。
日本を代表する企業で働く社員の情報が、大量に流出していることが日経ビジネスの取材で明らかになった。確認したのは、メールアドレスとパスワードの組み合わせを記したリストだ。
もともとは利用者が限られる闇サイトで売られていたが、現在は誰でもアクセスできるサイトを通じて無料でダウンロード可能な状態にある。リストに記されている組み合わせの総数は、16億件に達する。
16億件の流出は記憶にある限り上位に入るはずです。属性も大手企業のメールアドレスとパスワードです。利用価値も高そうです。
件数や内容だけみれば、ヤバイよヤバイよ。。。と思いますが、どのポジションからどうアプローチするのかによって見方も変わります。ここでは攻撃側の視点から防御策を考えてみます。
1.まずパスワードを変える
これメール受信時のパスワードではないはずです。こんなこと言われなくともまずパスを変えることしか出来ません。流出したと思われるパスワードを使っていると思われるサイトやサービスを全部プチプチ変えていくしかありません。それをどこで使ったかわからない?となると、優先順位をつけて変えていくしかありません。
・クレジットカードなどを登録しているショッピングサイトや関連サイト
・クラウドストレージ(ファイル共有)や、スマホ関連(AppleやGoogleなど
・重複しますがポイント交換サイトなど
上から並べてみました。結局、利用価値(金銭的データ価値)のあるサイトから狙われていきます。少なくともパスワードを使うサイトやサービスには何か秘密的要素があります。
こんな面倒な手間を教訓にパスワード管理ツールを使っていくとか、使用機会があったと捉えるしかないと思います。
2.メアドだけでも十分に価値がある
メアド単体でもフィッシング詐欺やビジネスメール詐欺に使えます。これフリーメールのアドレスよりも企業ドメインのメールなので価値があります。少なくとも実在するアドレスなのでヒット効率はいいです。パスワードは面倒でも変えることが出来ますが、メアドは漏洩事件の度に変えてられません。
・基本として企業ドメインのメールは業務以外で使わないこと
使い方によって何とも言いようがありませんが、上記を回避出来ないどうしても企業ドメインのメールを使うケースであっても、どれだけ注意する確率を減らせるか?という話です。以前に同じことを話した方は「どうしてもなケース1件(サイト)が、莫大な数の漏洩先に漏れたらどうするのか?」と、注意しなくとも変わらないし、むしろ多いんじゃないか?と。多面的な考え方としてアリですが、何でもいいのでまずはやりましょう!、最低限やることはやりましょうということで。
メアドは受信時にフィルタリングなどの処置がされているはずですが、やはりすり抜けるメールもあります。こんな漏洩がなくともアヤシイものは一方的に届きます。これを機会に受信メールを常に注意し続ける機会にするしかありません。これは絶対的に徹底して欲しい重要事項です。
3.誰でもアクセスできる場所にデータがある
そもそも闇サイトで売られている(漏洩している)段階で、悪意をもった活用がされています。それが雑に扱われるような無料サイトにアップされてしまうと、データはタダですしもっと雑に扱われます。それと今回の漏洩データを組み合わせた使い方もされると思います。
・とりあえずメールすれば、それなりの確率でカモが引っかかるので乱射的な手当たり次第に送信
・企業ドメインなので、ビジネスメール詐欺なども効率よくターゲット(業種)を絞れる
・漏洩データを組み合わせて使う(同じドメインで関係者宛など、それらしいメールに仕上げる送り方)
・全部toやccなど、メアド漏洩のようにメール受信者全員あてに送る(二次だか三次だかの漏洩
・今回の漏洩事件の解決方法など、架空請求メールなどが届く
いろいろと利用されそうです。攻撃されそうなことからアプローチすれば、どのようなことが起きそうかが何となく見えてきます。そうすれば対処方法や注意事項も見えてきます。
本当に自分で何もしなくとも、預けている管理先から勝手に漏洩する事件も多いですが、どうにか自身で出来ることが多少なりとも残っているならば、やっておくことで問題発生時にも手間やリスクは軽減できます。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。