期限切れパスワードの不用意な
処分方法で4700万円の被害額!
Case1
Case2
Case3
Case4
同僚による犯行で、被害者も
ボーナス査定2年間ゼロ!
更新後にパスワードメモを
ゴミ箱にポイ。
日常の些細な行動が、実は重大なセキュリティ事故の原因になる可能性があります。 実際に起きた4つのセキュ
リティ事故事例について、企業の情報セキュリティ実態に詳しい、
日本セキュリティ・マネジメント学会の常任理事
萩原 栄幸氏が、事故の原因とその対策方法を解説します。
システムの多さに比例して、増加するパスワード管理の負担。 多くの人がパスワードを忘れないよう、手帳やデスクの中に メモを保管していたりしますよね。 しかし、定期更新によって、不要になった過去のパスワードメ モを不用意に捨てたりしていませんか? その あるある 、ちょっと危険かもしれません。厳格なパスワード運用が
招いた悲劇
パスワードの使い回しで、
職場を追われた男
なまじ堅牢なパスワードが
仇となり……
うっかりミスで、懲戒免職の瀬戸際
まで追い詰められた男の失意
厳格なパスワード運用が
招いた悲劇
「今回は多分G4h9B#02に違いないと考え、そのパスワードを使ってシステムの侵入を果たし取引先データベースをコピーす ることに成功したのであった。 B課長は懲戒免職。被害者であるA部長もボーナス査定2年間ゼロというとても痛いペナルティとなった。 取引先のデータは一部(約2000件)が漏えいし、マスコミこそ漏れなくて幸いであったが、この為の直接費用だけで約4700万円 もの費用が掛かることとなった。
なぜこの事故は起こったのか!?
ログイン時のパスワードは就業規則に則り「英字大文字小文字、数字そして特殊文字を使 用して意味のある単語にしてはならない」という部分を守っていたのは良かったが、これが 却って「覚えきれない」という意識を招き、末尾だけを更新するようなことになってしまっ た。さらには、そんな類推されやすいパスワードを、更新を終えたといって不用意に廃棄して しまったことが、この事故を発生させたと言えます。 富士通の生体認証ソリューションの特徴には、「パスワードをユーザーが管理しない」というものがあります。 厳格なセキュリティポリシーに則り、複雑で強固なパスワードを、会社側が設定・管理できます。 また、定期更新の時期や内容も会社側で行えるので、社員本人は、パスワードを覚える手間どころか、パスワードを知る必 要すらなくなるのです。富士通の生体認証ソリューションなら防げた!
クライアントのグループ企業から、
コンペの参画を拒絶!
Case1
Case2
Case3
Case4
調達コストだけで、
当初予算より
7,000万円以上もの増額に!
厳格なパスワード運用が
招いた悲劇
パスワードの使い回しで、
職場を追われた男
なまじ堅牢なパスワードが
仇となり……
うっかりミスで、懲戒免職の瀬戸際
まで追い詰められた男の失意
業務システムで使うために作成したパスワードだから、 堅牢さは折り紙つき。プライベートで使用しても安心だ し、使い回していれば複雑でも忘れる心配はない。そん な理由で、会員制ネット記事の登録やネット通販に、業 務に使うパスワードを流用していませんか? その ある ある 、かなり危険かもしれません。会員制ネットメディアの登録に、
業務システムのパスワードを流用。
パスワードの使い回しで、
職場を追われた男
なぜこの事故は起こったのか!?
になったのであった。 A氏は降格処分に加え、3か月間10%の減給となった。しかし、職場に居づらくなり、その後自主退職を余儀なくされた。 一方、会社側も信用低下という手痛い被害を被ったのである。クライアントのグループ企業からはコンペの参画すら許されなくな った。また、ビル内の電気配線や制御システムの設置位置の変更、換気口の配置や警備システムの変更など、設計図の変更作業 を強いられ、設計関連の人件費の増額分だけでおよそ2,300万円の損失となった。さらに調達コストも当初予算より7,000万円 以上も増額となったのである。 半年ほど前、A部長がプライベートに利用していたある会員制サイトで情報漏えい事件が発 覚し、サイトを運営する会社から謝罪メールが届いたことがありました。その際、登録したパ スワードを変更するようにとの指示があり、A氏は指示通りにサイトのパスワードの変更を済 ませると、情報漏えいの件はすっかり忘れていたのです。 じつはA氏は、以前そのサイトで商品を購入したことがあり、その時、勤務する会社を配送先 に指定したのですが、犯人は不正に入手したA氏の個人情報から勤務先を特定し、 サイトに 登録していたパスワードを使って会社のシステムに侵入、設計データをコピーしたのです。 就業規則に則ったどれほど堅牢なパスワードも、プライベートで使用するとリスクが高まりま す。セキュリティの脆弱なWebサービスからID・パスワードを不正に入手し、標的の企業の業 務システムへ不正アクセスを行う「リスト攻撃」の 食にされかねません。A氏の場合も、業務 で使うパスワードを安易にプライベートで使い回していたために、不正に入手した個人情報 を使って勤務先のシステムに侵入されたのです。 もし生体認証を導入していれば被害は避けられたはず。パスワード認証は、登録されたパスワードと入力されたそれが一 致するか否かの判断しかできないため、パスワードさえ一致すれば本人でなくても認証してしまいます。生体認証は確実 な本人認証ができるので、なりすましによる被害の可能性は限りなくゼロ。会社とプライベートのパスワードを使い回して しまうようなズボラな社員がいても心配ありません。富士通の生体認証ソリューションなら防げた!
失敗がトラウマとなり
アイデアが枯渇。
Case1
Case2
Case3
Case4
経常利益は赤字転落。
売り上げは−37%に急下降!
強固なパスワードにしたせいで、
思い出せない。
不正アクセスやなりすましも、パスワードさえ強固なら大 丈夫。そう思っている人も少なくないはず。しかし、どんな パスワードも忘れてしまったら何の役にも立ちません。苦 心して強固なパスワードを作成し、これで安心とニンマリし ていませんか? その あるある 、相当に危険かもしれません。厳格なパスワード運用が
招いた悲劇
パスワードの使い回しで、
職場を追われた男
なまじ堅牢なパスワードが
仇となり……
うっかりミスで、懲戒免職の瀬戸際
まで追い詰められた男の失意
なまじ堅牢なパスワードが
仇となり……
なぜこの事故は起こったのか!?
きないものだった。その後、新製品を社内テストし、音楽制作者とともに効果音やベース音楽を決める段階で、いくつかの些細なバ グが発見された。そこでA氏はソースプログラムに変更を加えようとしたのだが、どうしたことか、暗号化した際のマスターキーを 忘れてしまったのである。 必至でパスワードの断片を記憶の底から伻らせようとしたのだが、全く思い出せない。苦肉の策でブルートフォース攻撃(総攻撃) で解析を試みたが、15桁もある上に英字大文字小文字そして数字に特殊文字が混在していたため、高性能パソコンでも1億年 以上かかる計算となり、結局そのゲームは「お蔵入り」となってしまった。 A氏はその後、同じようなゲームを企画したが先の一件がトラウマとなったものかアイデアに恵まれず、結局逃げるように転職して しまった。会社もその年の売り上げは−37%に急降下し、創業以来右肩あがりの「経常利益」は初めて赤字に転落してしまった。 セキュリティを強化し、ライバル会社がソースプログラムを不正にコピーできないように暗号 化したまでは良かったのです。ただし、どこの企業でも推奨されるように、パスワードは意味 のないランダムな文字列であることで強固さを担保されます。作成直後は覚えていたが、販 売戦略を練るうちにすっかり忘れてしまったというのでは笑い話にもなりません。「物忘れ」 というにはあまりにもお粗末なケースと言えるでしょう。 どんなに就業規則に則った堅牢なパスワードも、忘れては何にもなりません。とはいえ、強固 なパスワードほど桁数は多くなり、しかもランダムな文字列だけに記憶に頼るには無理があ ります。手帳に記載したり、スマホにメモしておくことを許可していない企業も多く、失念の心 配のない堅牢なパスワードの運用は難しいのが実情です。 失念や紛失、置き忘れの心配のない生体認証にしておけば、こういう悲喜劇は未然に防げたに違いありません。生体認証 なら社員は認証のためのパスワードを覚える必要がなく、システム側の専用ソフトが各業務システムにID・パスワードを自 動入力。どれほど強固なパスワードを設定しても瞬時にログインでき、パスワード入力の手間がないので業務効率を低下 させる心配もありません。富士通の生体認証ソリューションなら防げた!
あわや流出寸前。盗まれたPCを
中古買い取り店で発見!
Case1
Case2
Case3
Case4
水際で食い止めたのに、
賞与ゼロ!
ノートパソコンと、
認証パスワードを
メモした手帳を、
同じ に。
強固なパスワードを設定していれば、万一パソコンの紛失 や盗難に遭ったとしても、中に入っている情報が漏えいす る心配はない――本当にそうでしょうか? もしパスワー ドを記載したメモをパソコンと一緒に失くしたら? そう なくても「ブルートフォース攻撃」をかけられればハッキン グされてしまうのは時間の問題です。その あるある 、想像 以上に危険かもしれません。厳格なパスワード運用が
招いた悲劇
パスワードの使い回しで、
職場を追われた男
なまじ堅牢なパスワードが
仇となり……
うっかりミスで、懲戒免職の瀬戸際
まで追い詰められた男の失意
うっかりミスで、懲戒免職
の瀬戸際まで
追い詰められた男の失意
なぜこの事故は起こったのか!?
は持ち出しが禁止されている他の重要案件の機密情報が満載されていたのだ。 事故から1週間後、ある中古買い取り店から紛失したPCが持ち込まれたとの通報があった。持ち込んだ老人は強固なパスワード を破った上に、用意周到にデスクトップのデータを消していたのだが、店のスタッフが偶然に削除忘れのファイルを見つけてくれた のだ。ファイルは削除されていても、復元しようとすれば容易に復元可能である。こうして機密情報や顧客情報が入ったPCが市場 に流出するのを水際で食い止めることができたのだった。 直接的な損害は殆どなかったものの、従来のような運用ではハイリスクであることを会社側も痛感したようである。一方、A氏には さまざまな規則違反があったため無罪放免とはいかなかった。成績考課の評定は最悪となり、当期の賞与はゼロ。しかもその後の 昇格で同期の標準とくらべ3年ほど遅れるはめになったのである。 A氏には、会社のために頑張っているのだから多少の逸脱は許されるだろう、という甘えが あったのでしょう。会社支給のPCを社外に持ち出す場合の規則を破り、必要以外のファイ ルを残していたのもそのためだと考えられます。それにつけても、疲れているからといってパ ソコンを網棚にのせてはいけません。なによりまずいのは、パスワードを書いたメモを、PCと 同じ に入れて持ち歩いていたことです。仮にPCとパスワードを別々にしていたとしても、パ スワード認証のPCは、「ブルートフォース攻撃」と呼ばれる総当たり式の入力で時間さえか ければ、いずれハッキングされてしまいます。ノートPCやタブレットなどのモバイル端末は、 盗難や紛失することを想定した対策をしておくことが重要です。 生体認証を導入していれば、仮に盗難に遭ったとしてもPCを起動することさえできなかったはず。生体認証は盗難や紛失 に対して、パスワードとは桁違いのセキュリティ強度を備えています。認証時にパスワードを使用しないので、メモに残すリ スクがゼロになるのはもちろん、パスワードの入力画面自体がなくなるので、ブルートフォース攻撃のように時間をかけた としてもハッキングすることは不可能。本人以外が認証されることは決してありません。富士通の生体認証ソリューションなら防げた!
生体認証ソリューションの詳細はこちら!導入事例や調査データなども多数公開中 富士通 セキュリティラボ http://www.fmworld.net/biz/security_lab/ 富士通は、お客様・社会のイノベーションの実現に向けて、ICTの安心安全を支えるための製品・サービスを「FUJITSU Security Initiative」として体系化しました。当社のセキュリティ製品・サービスをはじめ、 世 界 中から最 先 端 のソリューションを集め、お客 様に最 適な組 み 合わせで運 用を統 合 的に提 供します。
セキュリティは富士通 ∼FUJITSU Security Initiative∼
富士通株式会社 富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い 合わせください。電話でもご注文・ご相談を承りますので、下記窓口までご連絡ください。 [富士通購入相談窓口](受付時間9時∼19時)
