攻撃者が狙う捨ててはいけない4つの会社のゴミとは? | TECH+ マイナビニュース マイナビ
ソーシャルエンジニアリングに悪用される恐れのあるゴミ
外部からネットワークに侵入する際、事前に情報収集をするために行われることが多いのが「トラッシング」と言われている。
カスペルスキーは不正会計の証拠や自社が不利になることが記された報告書のような書類を捨てる習慣はないと仮定すると、危険が潜んでいるのは個人データと指摘している。
プライバシーの保護が厳しさを増している今、個人データを簡単に捨てることは法規制に抵触することになる。しかし、捨てられた個人データに端を発する事例は後を絶たないそうだ。
サイバー攻撃者がソーシャルエンジニアリングに使えると考えられるゴミとしては、以下があるという。
社外秘などの極秘書類ではなくても、部署の業務内容、普段使っている専門用語、自社の手続きなどがわかる書類であれば、攻撃者に悪用されるリスクがある。
上記のような情報を入手した攻撃者は、メールや電話によって業務プロセスの一員になりすまし、さらなる情報を引き出したり、ビジネスメール詐欺(BEC)を仕掛けたりすることが考えられるという。
当たり前だが、封筒には宛先と差出人が記されている。業務で用いられた封筒となれば、ビジネスの相関関係が示されている。例えば、攻撃者がA社の従業員がB社の従業員から紙の書類を受け取っていることを知ったとしよう。
その場合、封筒を受け取った人に接触して説明を求めたり、悪意あるリンクを実際の紙の書類の受け取り確認に見せかけて送りつけたりする可能性がある。
クラウドストレージが広く利用されるようになったとはいえ、仕事の現場では、USBメモリやハードディスクドライブが使われているだろう。デジタルカメラで撮影する必要がある部署なら、SDカードも使っているかもしれない。
壊れたスマートフォンがあれば、そこから連絡先リストやメッセージを引き出し、以前の持ち主のふりをすることができるし、USBメモリやハードディスクからは、仕事の書類や個人データを盗み取ることができる。
従業員の名前が書かれたデリバリーの袋でさえ、サイバー犯罪者にとってはチャンスとなるという。例えば、限定メニューやロイヤルティプログラムを案内する内容のフィッシングメールを送り、フィッシングサイトに誘導するという手口が確認されているそうだ。
ごみを正しく処分するには?
では、ゴミをサイバー攻撃者に悪用されないように処分するには、どうしたらよいのだろうか。
カスペルスキーは、まずは、情報を紙で残しておくのを最小限にするか、やめてしまうことを推奨している。脱炭素など、エコが求められる現代においては、正しい道筋だろう。
次に、紙類については、業務に少しでも関係のあるものはすべて粉砕することが重要となる。封筒も一緒にシュレッダーにかけることを忘れないようにしたい。
USBメモリなどの記録媒体は、機械的に使えないよう状態にしてから電子機器のリサイクルセンターに持ち込むとよい。CDやUSBメモリは割り、ハードディスクは電動ドリルかハンマーで破壊することで、使えないようにする。
なお、スマートフォンにも注意が必要だ。スマートフォンにはフラッシュドライブ、コンピュータにはハードディスクが入っているからだ。スマートフォンやコンピュータを捨てる場合は、データが読み取りれない状態になっているかどうかを確認する必要がある。
そして、こうしたことをすべての従業員に対し周知することが重要となる。一人一人が危機意識を持って行動しないと、日々の業務において上記のことを行うのは難しいからだ。
