Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

自治体の導入テストがお粗末ではないか?

自治体のセキュリティ対策により、業務に支障が出たという記事が、共同通信の1月8日に出ていましたので、つぶやいてみます。

 

this.kiji.is

日本の地方公共団体は2016年で1,741(wiki情報)ですから、17%超の市区町村がトラブルを抱えたという事になります。あまりにお粗末な気がするのは私だけでしょうか?

 

記事を見ると、

高度なセキュリティーシステムを導入した結果、問題のないメールや添付書類が、迷惑メールや安全性が疑わしいファイルと誤認され、自動的に削除されるケースが続出した。

とあります。

 

迷惑メールソフトは私も会社で使っていますが、特にフリーメールや海外アドレス(.com含む)に対して、誤検知される時もあります。ですが私の会社ではデフォルトで『自動的に削除』される設定にはなっていません。迷惑メールフォルダを見て、誤検知されたメールを復旧する事も可能だったり、迷惑フィルタを潜り抜けてきたスパムメールを、迷惑メール指定する事もできます。おそらくこれが普通の会社での運用設定ではないでしょうか?

 

 

自動的に削除するのであれば、その前にその運用で問題が無いかどうか、テストをする事が必要不可欠です。過去の受信メールを元に、例えばロシアからのメールや、添付ファイル名が中国語であるメールや、viagraと書いてあれば迷惑メールにする、、、といったルール定義をするのが一般的だと思います。

あるいは迷惑メール設定ルールが間違ってないかどうか、テスト期間を作って、誤検知メールを分析してPDCAで設定ルールをより実践的なものにしていく事も有効でしょう。

これらの導入テスト/検証作業を、業者任せにし、それを自治体側が(良く検証せず)了承した、そんな構図が透けてみえます。そんな事では自治体はいつまで経ってもセキュリティ人材は育たないと思いますし、住民から預かったデータを守らなければならないという共通意識も醸成されないのではないでしょうか。

 

今回トラブルになった300以上の自治体が、セキュリティやIT関係では業者に丸投げ体質であると推測できるので、仮に自治体名が判明し、私が攻撃者でしたら、ソーシャルエンジニアリングを組み合わせて考えます。

例えば『メールの回答が届いてない!返事をすぐよこせ!』とクレームの電話を入れます。その時点で自治体の担当者は迷惑メールの誤検知だと判断すると思いますので、誤検知を解除するように『お願い』してウィルス付きメール(ランサムウェアが理想)を送付し、相手担当者に開かせる、、、そんなシナリオが考えられるかと思います。

 

 

テストのイラスト「0点の答案」

 

更新履歴

  • 2018年1月14日 AM(予約投稿)