データ流出のニュースが日々報道されているようです。
VPN認証情報また流出 日本は1000社、中小企業中心
米フォーティネット社製のVPN機器を巡っては、昨年11月にも認証に必要なIDやパスワードが大規模に流出。日本の複数の大学や警察庁も不正アクセスを受けた。
「中小企業中心」との見出しになっていますが、記事本文では"昨年"となっていますが、大学や警視庁も不正アクセスを受けているようですね。
意図的に印象操作されているように思えるのですが、、、考えすぎでしょうか?
過去に聞き及んだ事件では、
「在外公館で働く職員がスマホを海外で紛失した。」
当然そのスマホには、外務省へ直接アクセスできるVPNの設定が行われており、サーバーのアドレス、ポート、ID、PassWord、、諸々。
スマホ本体があれば、ロックを掛けようが何しようが、内部データは解析可能。
例えば遠隔操作で、ロックしようとしてもSIMカードを抜かれて、WiFiの電波の届かないところに持ち込めば、全くの無力。
当然こんな物を手に入れたら、すぐに外務省のサーバーにアクセスしたくなるのは、人として自然の成り行き。
落としたと言うよりも、飲み会の席で紛失しているので、盗まれたというのがほぼ確定。
不正アクセスというと、ドラマに出てくる天才ハッカーみたいな印象を持つ方も多いかと思いますが、実際の所ベタベタな「置き引き」と言うアナログ手法が行われているのが現状です。
VPNに接続する際も、毎回ID、パスワードの手入力等、アナログな方法が予防には最適かと、、
普段目にする変なセキュリティーとしては、
「添付ファイルは、パスワードで保護されています。パスワードは追ってメールいたします。」
暫くすると、パスワードがメールで送られてきます。。。
当然ハッカーも後ほど送られてくるメールを待ち受けて、パスワードを簡単に入手できます。
これで、パスワードで守られたセキュリティーが完璧なはずのファイルの内容がいとも簡単にハッキングされてしまいます。
どうすればいいのか?
メールについては、OpenePGPの利用が簡単と思われます。
ThunderBirdメーラーを使えば、標準で装備されているのでお勧めです。
パスワードで保護されたファイルを送信した場合は、そのパスワードを別経路、例えばSMSとか、LINE等で相手に送付する。これも別途費用が掛かるような物ではないのでお勧めです。
最近流行の脅迫メールで、
「貴方のPCをハッキングして、貴方の恥ずかしい日常を録画しました。公開されたくなければ、ネットバンクの私の口座○○に△△円を振り込んで下さい。」
等とよく送られてきますが、
これも
普段使わない時はPC付属のカメラのレンズにシールで目隠しする。
お手軽な一手間で、脅迫を根底から排除することができます。
最も簡単なPCからのデータ漏洩の方法は、コンセントを抜く。
ノートPCの場合はバッテリーで駆動されてしまいますが、電源を落とすことが最強です。
デジタル上のトラブルに最強の抑止力はアナログ手法
デジタルの知識が無くても、ちょっと考えたら、セキュリティーレベルを上げることは簡単です。
逆に言えば、デジタルに頼りすぎると、、、
例えばパスワードの掛かった添付ファイルは、サーバー上のセキュリティーでは(一部のセキュリティー?よく解りませんが)全くチェックされないようですね。
「添付のファイルはパスワードで保護されているため、ウィルスのチェックができませんでした。」
とサーバーからの注意書きが添えられてきます。
やはりデジタルには、デジタルで対抗できない。
と言うことですね。
