指一本で盗まれるカード情報、これが現実であることを知ろう

2014/12/18に開催されたCODE BLUEの講演。ここでは情報セキュリティに関する最新の知見を得ることができるのですが、今回の講演では、

・店頭のキオスク端末から指一本でカード情報が盗めてしまう事例
・あっさりroot権限を奪われてしまうMacOSの事例
・日本に20万台以上あると推測される、脆弱な無線Lanルーターの話

など、実に刺激的な内容が披露されました。この記述を見てあなたは、「ふ～ん、そうなんだ」と思うかもしれません。しかし、これは他人事ではありません。あなた自身にも関係する話なのです。

そこにある脆弱性に気が付かないという現実

店頭のキオスク端末から指一本でカード情報が盗めてしまうという事例。これはプロのハッカーだからできるという話ではありません。知ってさえいれば、子供でもできてしまう話です。だって、本当に指一本でできるのですから。

キオスク端末というとわかりにくいですが、映画館にあるチケット発券端末や、コンビニにあるチケット端末といえば、誰もが目にしたことがあると思います。他には、飲食店で時折見かける情報端末など、今では街を歩けば、いくつもの端末を目にすることができると思います。

さて、これらの端末、エラーが発生して、WindowsOSのメニュー画面が表示されたままの状態になっていたり、USBのポートが外から丸見えになっているようなケースを見たことはないですか？

多くの人は気が付かないかもしれませんが、こんな状態になっている端末では、普段は隠れているメニューを操作して、端末の中に保存されている情報を覗くことができたり、USBポートにキーボードをつないで自由に操作したりといったことができてしまうことがあります。

CODE BLUEの講演では、そうした事例を紹介していたわけですが、重要なことは、これらの端末が不特定多数の人が操作可能な場所に置かれていて、しかも、ほんとうに指一本でカード情報が盗めてしまったりするにもかかわらず、そのような危険があるということに、その場にいる従業員が気づいていないという事実です。

誰もがOSのメニューを触れてしまうことに危険性がある。と気づくのに特殊な技能が必要でしょうか？
誰もがUSBのポートにキーボードを挿せることにリスクがある。と感じるのに、資格を取るほどの猛勉強が必要でしょうか？

この問いに対する回答は、どちらもNO!でしょう。

指一本でカード情報が盗めてしまうなど、レジからお金を盗み放題になっているようなものですが、そのような状況を目にしながらも、従業員がまるで気が付いていないという現実は、まさに、「リスク管理の在り方を根本的に考え直す必要性がある」という示唆を与えてくれています。

従業員は情報セキュリティについて考えなくてもよいようにする。は、もはや幻想

社員が業務に専念できるようにするため、セキュリティ担当者は、社員が面倒なセキュリティ対策について考えなくて済むよう、必要な対策を講じるべき。という考え方があります。

セキュリティ対策はすべて自動化・ブラックボックス化し、面倒な対策や情報の保護はすべてシステム、もしくは、専任の担当者がやってくれて、営業マンは営業活動に専念すればいい。というのは、一つの理想です。

この考え方は間違ってはいないと思いますが、世の中に端末が溢れ、その勢いが私たちの想像を超える早さで進んでいる状況においては、今の時点では幻想に過ぎないと思い直すべきであると考えます。

だって、指一本でカード情報が盗めてしまうような現実が目の前で起こっているのに、それを守るべきはずの従業員が全く気が付かないという状況にあるのですから。

私たちは、今こそ、現実にしっかり目を向けるべきです。
無線LANルーターの脆弱性により、外部から侵入ができる状況に、root権限が奪取できてしまうMac、そして、セキュリティの弱いネットワークストレージ、こうした状況は一体何を意味するでしょうか？

もし、あなたの会社の社長や役員がMacをこよなく愛する仕事熱心な方で、自宅に帰っても愛するMacを使って重要な情報をやり取りしていたら、どんなことが起こり得るでしょうか？想像してみてください。

仕事に集中するために、セキュリティについて考えなくても良いようにする。ということは、逆に言えば、セキュリティについて何か問題となる事があっても、それに気がつかなくなるということです。だって、セキュリティについて何も考えなくてよいために、考えるという習慣が無くなってしまっているのですから。

そのような状況では、ごく簡単なセキュリティ上の問題にすら、気がつかなくなります。それこそ、指一本でカード情報を盗まれてしまっていても気がつかないキオスク端末の管理者のようにです。

このような話は、只の絵空事でしょうか？

いいえ、セキュリティの専門家達は、実際に目の前で事実を見せることによって、それが絵空事ではないことを証明しています。そして、警鐘を鳴らしています。

私達は、今こそ、彼らの話しに耳を傾け、現実にしっかり目を向けるべきです。

ここで、2014年12月のCODE BLUEの講演のオープニングを飾った、ケレン・エラザリがTEDで講演した内容は参考になると思いますので、ご紹介しておきます。是非一度ご参照いただき、セキュリティ対策のあり方について考えるきっかけとしていただけたらと思います。

←前の記事へ（増え続ける標的型メールによる被害と、セキュリティ担当者の思い込み）
→次の記事へ（成果の上がるセキュリティ教育のやり方）

コメントを残す

コメントを投稿するにはログインしてください。

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

無料でキットをお試しいだける「キット評価版」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

おかげさまで11年目　標的型メール訓練なら、標的型攻撃メール対応訓練実施キット! Since 2014

指一本で盗まれるカード情報、これが現実であることを知ろう