機密情報の持出し
内部不正で、情報システムの画面に表示された機密情報を持出す方法は、以下の通りである。
- 画面を書き写す。
- 画面のスクリーンショット取り、 その画像を攻撃者に送信する。 または、その画像をUSBメモリなどで持ち出す。
- カメラで画面を撮影する。 スクリーンショットを取れないような技術的対策が行われている場合に用いられる。
機密情報の持出しへの対策
機密情報の持出しへの対策は、以下の通りである。
- 就業規則・利用規程で内部不正に当たる行為を禁止する。
- USBメモリを使用できないように、情報機器に技術的対策を行う。
- 監視カメラを設置して行動を記録する。 事後の分析や抑止効果のために。 ただし、出入りする人が限られ、警備員などが常時監視しているのであれば、対策として十分。
初期設定の悪用
情報機器を初期設定の状態のままで使用することによるリスクは、以下の通りである。
- 初期設定のパスワードは脆弱なものがあり、パスワードが推測されるリスク。
- 初期設定の情報から、 情報機器の機能により送付されるメールの差出人アドレスを読み取られるリスク。
攻撃者がその差出人アドレスや、類似の差出人アドレスからメールを利用者に送り、利用者がそのメールを情報機器の機能により送られたメールと勘違いして、メール本文や添付ファイルを受信してマルウェア感染する。 - 初期設定の情報から、情報機器のメーカーが推測され、攻撃者に脆弱性情報を与えるリスク。
初期設定の悪用への対策
初期設定の悪用への対策は、以下の通りである。
- 初期設定のまま使用することなく、初期設定を変更する。
- 利用者ID作成時に、その利用者IDについては、次回ログイン時にパスワードの変更を強制する設定にする。つまり、初期パスワードでログインした際に、次回から利用するパスワードを再設定するようにする。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント