ナレッジ

ゴミ箱に捨てた情報がサイバー攻撃の引き金に?スキャビンジングの怖さとは。

情報セキュリティのリスクは、企業の至るところに潜んでいます。今回は、ソーシャルエンジニアリングの一つ、スキャビンジングの怖さや対処法をご紹介します。

スキャビンジングとは何か

ソーシャルエンジニアリングとは、IT技術ではなく、人の脆弱性に漬け込んで、情報を取得する手法です。

その中で、今回はスキャビンジングに注目します。スキャビンジングとは、ゴミ箱に捨てたメモ、廃棄したPCやネットワーク機器などから情報を盗み出す行為です。サイバー攻撃による情報漏えいとは異なり、かなりアナログな印象を受けるかもしれません。

しかし、侮ることが出来ない情報セキュリティリスクの一つです。

また、スキャビンジングの他に、トラッシング、スキャベンジングと呼ばれるケースがあります。(今回は、スキャビンジングに統一して、ご紹介します)

スキャビンジングで起こりうるリスク事例

では、実際にスキャビンジングによってどのような情報セキュリティリスクが生じるのでしょうか。事例を紹介しながら見ていきたいと思います。

〈ケース1〉 中古IT機器からの漏洩

企業内の機密情報収集を目的として中古パソコンを入手し、様々な機密情報を盗み出すケースがあります。パソコンのハードディスクに対して「フォーマット」を実行しても、データを保存した位置情報が消されるだけなので、専用のツールなどを活用して、データの復元が可能です。

コンピューターのハードディスクだけでなく、スマートフォンなど携帯電話もデータが復元できない状態にしてから廃棄することが情報を守る上で重要になります。

ケース2 オフィスのゴミ箱からの漏洩

清掃業者などを装い、オフィスのゴミ箱から情報を盗み出すケースがあります。パソコンやクラウドサービスのIDやPASSを書いたメモなどが流出した場合、同じIDやPASSを使いまわししている方も多いため、想像以上に深い領域まで侵入を許す可能性があります。

また、強い権限を持たない一担当者のIDやPWだったとしても、その端末を“踏み台”にして、より権限の強い端末に対する攻撃を仕掛けることも可能になります。オフィス内のゴミ箱だからといって、安心して機密情報を放置しないことが大切です。

主なスキャビンジングリスクとその対策

スキャビンジング対策で有効な方法にどのようなことがあるのでしょうか。3つの情報出口から対策できることを整理してみました。

・廃棄された紙情報自体の漏洩リスク
→シュレッダーや秘密文書処理の導入(処理会社とも守秘義務契約を行うとなお良い)

・廃棄された情報機器に潜む情報の漏洩リスク
→レンタルPCも含む情報機器の廃棄時の情報処理の徹底

・廃棄された紙情報や情報機器の情報からサイバー攻撃などさらなるリスク
→サイバー攻撃で狙われている理由をスキャビンジングで有ることも疑って、情報管理を徹底する

重要な情報を不必要にメモ書きやプリントアウトしない、書類などはシュレッダーなどで破砕してから捨てる、記憶メディアは完全消去したり不可逆に破壊したりする、ゴミを公開スペースに放置せず信頼できる廃棄業者に直接引き渡すなど小さな対策の積み重ねが重要になります。

まとめ

このようなリスクが存在することを情報システム部門のメンバーや経営陣だけでなく、営業や開発、バックオフィスなど全ての従業員が理解して、情報の取り扱いを徹底することが大事になります。小さな事かもしれませんが、企業活動の継続に大きな影響を与えうる損害を生むかも知れないのが、情報セキュリティリスクの怖さです。

今日できることから、各々の従業員が取り組むことが大切です。

参考
令和02年【春期】【秋期】情報セキュリティマネジメント合格教本(技術評論社)

Powerd by Eltes

デジタルリスクラボ編集部

デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら