機密情報のウェブ公開に注意！サイバー攻撃の標的にされる可能性も

機密情報のウェブ公開とは

いまや、企業が事業を展開するにあたり、機密情報をデータで管理することも多くなりました。しかし、組織の情報管理に関する規程の不備や、従業員のセキュリティ意識の低さ、不注意によるミス等により、機密情報を誤ってウェブ上に公開してしまうことがあります。

東京商工リサーチによると^*1、2022年に発生した情報漏洩・紛失事故の原因別件数において、「誤表示・誤送信」は2位と、「ウイルス感染・不正アクセス」に次いで上位に入りました。

「メールの誤送信」なども件数に含まれるものの、原因としては決して珍しくないことをご理解いただけるかと思います。

この事故は、ウェブの特性上、情報の拡散力が高いうえ、被害実態の把握が難しいといった特徴があります。また、機密情報を悪意のある攻撃者が発見した場合、サイバー攻撃の標的となる恐れもあります。

^*1出典：東京商工リサーチ 個人情報漏えい・紛失事故 2年連続最多を更新… （2023/01/19）

SSHの秘密鍵の公開事例

昨今では在宅ワークなどで、遠隔のPCにリモートアクセスすることも多いと思います。

この際に、安全な通信を担保するために用いられるのが、SSHという通信プロトコルです。

SSHでは、正規のユーザー以外がアクセスできないよう、公開鍵暗号方式で認証を行うのが一般的です。しかし、驚くべきことに、この方式で認証に使用する秘密鍵が、検索エンジンにヒットするという事例が存在するのです。

その理由は定かではありませんが、秘密鍵のファイルそのものや、バックアップファイルを誤って公開エリアに保管した可能性が考えられます。

この事例は、あまり馴染みのない話かもしれません。しかし、秘密鍵に限らず、PCの中には、システム上、重要な情報を含むファイルが存在します。そのため、用途がわからないファイルの移動やコピーには十分気をつける必要があります。

メールアドレスの公開事例

みなさまの中には、便宜上、メールアドレスをエクセルで管理する方もいるかもしれません。

しかし、このような個人情報を含むファイルも、あいまいなファイル名や、シートの中身をすべて確認していないなどの理由で、誤ってウェブ上に公開されることがあります。

メールアドレスはドメイン名から推定できるため、社外秘と同様、攻撃者にとって検索エンジンを使用して探し出すのは難しいことではありません。

もし、メールアドレスが悪用されると、当事者に迷惑メールが送信されるほか、アカウントが不正利用される可能性があります。最近では、ＳＮＳや通販サイトなど、多くのサービスにメールアドレスがログインＩＤとして使用されているため、当事者が金銭的または個人の名誉に関わる被害に遭うことも考えられます。

機密情報の公開を防ぐために必要な対策は？

企業でできる対策として、まず考えられるのは以下に挙げるような技術的な対策です。

しかし、機密情報をウェブ公開してしまう根本的な原因は、人為的なミスにあることがほとんどです。そのため、技術的だけでなく、次に挙げるような対策を組織的に取り組むことが重要です。

特に、業務が属人化し、機密情報の取り扱いへのチェックが働いていない場合には、確認プロセスの見直しが必要となります。また、ルールが明確でなく、個人の判断で機密情報の取り扱いを決めている場合には、格納場所を掌握・可視化する対策が有効です。

まとめ

機密情報がウェブ上に公開されている具体例と対策についてご紹介しましたが、いかがでしたか。一度機密情報が公開されると、後で削除したとしても、その被害を計り知ることはできません。

ぜひこの機会に、機密情報の取り扱いについてご確認いただければと思います。