Milkのメモ帳

日々の思いつきを忘れないようにのメモ用です。

Milkのメモ帳

情報漏えい(データ流出)はどのようにして起こるか?


f:id:maxminkun:20160917111824j:plain
Photo credit: Don Hankins via Visualhunt.com / CC BY

最近、妹宛に大学から封筒が届きました。

どうやら・・・お漏らししてしまったみたい!!

調査した結果、妹が在学中の頃にウイルス感染が始まったっぽくて、今のところ重要なデータの流出は確認されていないとのこと。

大学は研究機関ですからねぇ。やっぱりターゲットにされやすいですね。

外部からのクラッキングは意外と少ない?

皆さんが想像する、情報漏えい(データ流出)やシステムクラッシュの方法は外部からのクラッキングでしょう。

www.milkmemo.com

ですが、意外とこの方法は少ないのです。

確かに、大企業や研究機関には常時クラッキングによるアタックがなされています。でも、特定のコンピュータだけを通信可能とすることで、外部の異なるコンピュータから侵入は簡単には出来ないようになっています。

ここは、ネットワークエンジニアの腕の見せ所でしょう。私みたいなアプリケーションエンジニアは、ちょっとやそっとの知識では太刀打ちできません(笑)

情報漏えい(データ流出)の原因割合は?

ノートンが公開しているデータで少々古いですが、興味深いデータがあります。

japan.norton.com

https://japan.norton.com/blog/wp-content/uploads/2014/08/leak07.jpg

全体の比率のうち、「不正アクセス」つまり外部からのクラッキングは、5%ほどしかないんです。

これは、ネットワークエンジニアが良い仕事をしてくれているということもありますし、人間的なミスが圧倒的に情報漏えいリスクを孕んでいることを示しています。

大概は以下のような理由でしょう。

  • メール等によって宛先が異なる場所にデータを送信してしまった。
  • USB等の外部記憶媒体にデータを入れ紛失してしまった。

これらは、内部監視ソフトや社内手続き、暗号化ソフト等によって対策がなされています。ですが、人間やはりミスしてしまうもの・・・

確かに、情報漏えいは問題なんですけど、心のどこかで同情してしまうところがあります。仕事で忙殺されている時に、ふっと自分もミスしそうで;

外部がダメなら内部から崩す

最近問題になっているのは、内部犯行です。

そう。実は、外部からの攻撃がダメなら、内部から崩してやろうという犯罪が多発してきているのです。

クラッキングよりも、こちらのほうがより現実的な方法です。

これらは、システムクラッシュよりも、データを覗き見ることを重視している傾向があります。つまりは産業スパイです。

添付メールによるウイルス感染

最近、注意喚起されているのはこのパターンです。

メールに添付ファイルをつけて、それを開かせるというパターン。

例えば、「先日の●●の会議資料を送付します。」と言う内容で、ファイルが添付されてきます。

ファイルを開くと、ファイル自体がウイルスであり、常駐型の場合は裏に潜んで画面上には何も出てきません。(実際に私自身は開いたことがありませんから、動作的にどうなるかは分かりません・・・仮に、私がウイルスを作成するならば、擬似的な会議資料を画面上は表示し、自分自身は常駐型のアプリケーションに登録させて身を潜めるということをします。その方が宛先間違いメールのように見えるでしょうから。)

この常駐型のアプリケーションになった場合は厄介です。動作中に画面に何も表示しませんから、フォルダ内部を巡回しデータを外部に送信していても分かりません。恐らくは、データが外へ出て行く部分を監視しているところ(トラフィック監視の部署)が、異常に沢山のデータを外部へ送信しているマシンがあることに気づいて、初めて発覚するでしょう。

厄介なのは、この添付ファイルがぱっと見たところ分かりにくい点です。

私の専門はWindowsなので、Windowsに関してアドバイスしか出来ませんが、Windowsというのは「拡張子」というものでファイルの形式を認識しています。

特に、アプリケーションは実行ファイルと言うものからスタートする決まりになっています。拡張子は「.exe」です。

つまり。「hogehoge.exe」となっているファイルは、アプリケーションです。また、このアプリケーションは他のファイルを参照しながら動きます。「.dll」と言った拡張子のファイルです。

気をつけなければならないのは、「.exe」のファイルです。こいつが動き出すとアプリケーションは実行されますから。

添付ファイルは巧妙に「.exe」が見えないようにしています。

例えば、「●月×日会議資料       .exe」として、拡張子が見切れた形になるようにしている場合。

又は、「●月×日会議資料.pdf      .exe」とあえてPDFファイルのように見せかけ、本当は実行ファイルであるなど、手口は様々です。

大事なのは、以下の点です。

  • 送信者が見覚えのある人か?
  • 添付ファイルの拡張子は変な形になっていないか?

Windowsの場合は、コントロールパネルのファイル表示形式がデフォルトでは「拡張子は表示しない」になっていますから、これは確実に「表示する」に切り替えて下さい。

最近では、年金機構を狙った事件が有名でしたね。

itpro.nikkeibp.co.jp

キーロガーアプリケーション

今回冒頭で取り上げた大学の情報漏えいは、メールによるウイルス感染と「キーロガーアプリ」の合わせ技でした。

封筒の内容を教えてもらったところ、とある学部のコンピュータが添付ファイルを開封。つまりアプリケーションを実行してしまいました。

恐らくは常駐型で裏に隠れるタイプでしょう。そして、ファイル巡回タイプではなくキーボード情報を収集し送信していたとのことです。キーロガー型のウイルスですね。

このキーロガー型とは、キーボードの押したキーの内容をかすめ取り、それを外部に発信するというウイルスです。このキーロガーという技術自体は問題ありません。キーボードがどのように押されたかを認識して、キーバインドを一時的に変更したり、キーボードショートカットを実行したりと、有益なアプリも沢山あります。

ただし、何を押したかというログを全部取得することで、つなぎ合わせると打ち込んだ文章を合成出来るということも意味します。これを外部に送信する機能が埋め込まれている場合は、悪質なウイルスプログラムとなります。

大問題になったのは、「Simeji」と「Baidu IME」です。

「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起 -INTERNET Watch Watch

WindowsやAndroidの入力変換ソフトで、キーロガーと同様の動作をしていました。つまり、入力した内容を開発した会社に使用者に対して無断で送信していたのです。そして、驚くことにクレジットカードの暗証場号等もログを取得していました。完全に悪質なウイルスプログラムです。

どちらも以前から悪い噂が絶えない会社ですから、私自身は入れてないですし、これから先も絶対に入れないでしょう。(図々しくもSimejiは日本でCMまでやっています。)

この問題が発覚し、私の会社ではこれらの入力変換ソフトの即時利用停止と削除が言い渡されました。まぁ、使ってる人なんていないと思うけど。

ですから、皆さんも気をつけて下さい。世の中には、公式で配布しているアプリで、知らないうちにデータを裏で送信している「ウイルス」と定義しても良いぐらいの悪質なアプリがあります。

ハードウェアのレベルで情報送信

更に悪質なのは、ハードウェアに細工がされていて、勝手に内部のデータの送信及び遠隔操作が可能な状態になっている場合があります。

そんなことあるの?あるんです!

有名な話は「Lenovo」です。安いPCメーカーとして有名ですよね。でも、アメリカ、及びイギリスと同盟国の情報機関は「Lenovo」製のパソコンの使用を禁止しました。

rocketnews24.com

このパターンになると、ソフトウェアではないので悪質なアプリを削除したから大丈夫という話ではありません。コンピュータそのものがデータ送信機になっているからです。

「Simeji」と言い、「Baidu」と言い、「Lenovo」と言い・・・ここまで悪質なことをやると、中国でまともなとこあるのか?って言われても仕方ない。

因みに、IBMの名器「Think Pad」というノートPCブランドは、Lenovoに買収されました。ですから、「Think Pad」であっても、もうその面影はありません。

内部の人間が流出させる

この問題も最近多発しています。

直ぐに思い出されるのは、「ベネッセ」の個人データ流出事件でしょう。

itpro.nikkeibp.co.jp

これは、作業を委託されていたSEがデータベース(DB:データを保管しているアプリ)にアクセスして、個人情報を自分のスマホにコピー。そして、その情報を外部に売り渡していたというパターンです。

また、研究データを他の企業に売り渡すということも発生しています。これは明らかに産業スパイ行為です。

toyokeizai.net

東芝とサンディスクはNANDフラッシュメモリの共同研究を行っていましたが、サンディスクの社員がこの研究データをコピーし持ち出します。韓国のSKハイニックスというNANDフラッシュメモリの、これまた最大手にそのデータを引き渡していたのです。

このように、そのチームの人間の裏切り行為によりデータが流出するというパターンもあり、それが発生した場合のインパクトはあまりに大きいのです。

これに対しては、外部記憶媒体の利用を常駐アプリで制御したり、データへのアクセス権限を制限するなどの対処がなされています。

でも結局は、この問題は”人”なのです。

信頼できる人間関係が構築出来なければ、この問題は根本的に解決しません。この問題の根は深く、IT業界の闇に直結する問題でもあるでしょう。

恨みを持った人間が生じれば、衝動的な行動に走った場合止められません。これは難しい問題で、防止策を施せば施すほど、がんじがらめの疑心暗鬼な状態を生み出すという、信頼と疑いという相反する状態が共存する環境が発生するのです。

最後に

このように、情報漏えい(データ流出)のパターンは色々あります。

案外、王道の?外部からのクラッキングは少なかったでしょう?

なんだか、結局は”人”の問題に戻ってきてしまうのです。

ITによって利便性が向上し、人に対しての効率化が加速しました。しかしながら、そのITを支える根底は、人間性というアナログな部分が要になるというのが皮肉です。

やはり、人間の良心が最後の砦となるのでしょう。