事故報告で変わるか?バックアップテープの取扱い(2)いまだ不十分なテープのセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

事故報告で変わるか?バックアップテープの取扱い(2)いまだ不十分なテープのセキュリティ

特集 特集

●Eハイジャックだった? Citigroup

一方、昨年6月に明らかになったCitigroupの事件も、ABN AMROと同様に信用調査機関Experianのテキサス州の事務所にupsがテープを送付中に、バックアップテープが行方不明になったというものだ。約390万件の顧客の氏名、社会保険番号、口座履歴、ローン情報などが入っていた。

事件を発表した際、Citigroupでは「(事件について)遺憾に思う」とのコメントを行うとともに、情報盗難の可能性については否定的で、「情報が不適切に使用されると考える理由はない」との見解を、被害者への通知で示した。

その後も、テープ発見、情報不正使用などのどちらの報告もなく、結局は紛失だったかと考えられていたが、11月、新たな説が浮かび上がった。トラックの保守、業界規制、情報管理をはじめとする内容の、運輸業のオーナー向けの雑誌『Fleet Owner』が、やはり盗難だった可能性があるとの記事を発表している。

『Fleet Owner』では、データセキュリティ・コンサルティング会社が、「テープは犯罪者宛に送付されるようになっていた」という考えを述べていることを紹介している。eハイジャックという言葉を用いて、どのように送付先を変えてしまったか説明。eハイジャックを防ぐためにも、トラック輸送中のデータセキュリティを強化すべきだとしている。

『Fleet Owner』が取り上げた、犯行グループの手口は次のとおりだ。このeハイジャックには15〜20人が関わっていて、5台の異なったコンピュータシステムを同時にハッキング。電子管理票(マニフェスト)システムの安全措置を攻撃し、マニフェストの情報処理中に、厳重に注意が必要な「セキュア」から、「スタンダード」に安全措置上のカテゴリーを変更。3人の署名が必要だったが、配達担当者がシステムを見た時、署名なしに配達できるようにしてしまった。

その後、テープが犯罪者宛てに届けられた後、システムを再び「セキュア」に戻し、ご丁寧にも3件の署名をアップロード。あたかも適切な処理を行ったように見せた。

この記事では、テープ送付中、どの部分で盗難されたのか、また15〜20人と多数の人間が関わっていたということだが、ハッキング担当の他に、犯罪者はどこにいたかなど不明瞭だ。しかし、マニフェストのシステムをハイジャックしたとするなら、送付先を変更して、全く別の宛先に送り、その後、再び電子マニフェスト上は、問題なかったように処理していたというのは、理論上では成り立っているように見える。

セキュリティ・コンサルタントのブルース・シュナイヤーは、マニフェスト乗っ取り説について、「ばかげている」としながらも、同時に興味深いセキュリティ上の問題をついているとして、そのウェブサイトで取り上げた。

さらにシュナイヤーは、データのセキュリティなどは存在しないことを認識していることが大切だと主張する。セキュリティはないが、保護することはできる。誰がデータを持っていて、何をしているか、保護・監視しておく必要があるという。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×