Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

忘れ物の問い合わせ先は

朝日新聞の記者が業務用PCを電車に忘れてきた件、無事に見つかり解決したのですが少し疑問に思いました。

www.asahi.com

 朝日新聞社は8日、東京本社の社員が業務用のノートパソコン(PC)を紛失したと発表した。PCには朝日新聞社が運営に携わるイベントへの参加を申し込んだ人の一部、約1900人の個人情報も入っていたが、今のところ不正使用は確認されていない

 社員は6日朝、東京都内で電車内にPCや社員証、記者腕章などが入ったかばんを置き忘れた警察に届け出たが8日昼になっても見つからないため上司に報告して発覚した。イベントの申込者らには8日、おわびのメールを送った。

朝日新聞記事より引用)

 

◆キタきつねの所感

随分前ですが、名刺入れが入ったカバンを車上荒らしにあって紛失した事があります。そういった意味では忘れ物で大事なものを無くすというのは他人事では無く、誰にでもミスはあるよ・・と記者の方に同情的に記事をみてました。

とはいえ、記事の書き方として少し気になる点があります。

 

それは、『・・・個人情報も入っていたが、今のところ不正利用は確認されていない』という部分。

 

事件報道を何度も見ているからでしょうか、この部分に危ない匂いを感じます。

推測になりますが、PCへのログイン個人情報(ファイル、ハードディスク)の暗号化という部分が結構怪しいかったのではないでしょうか?

PCが盗難にあった場合の事件報道では、『盗難に遭いましたが、ファイルは暗号化されておりデータ漏洩の恐れは極めて低いものと思います』と、実施していたセキュリティ対策を記載し、事件のインパクトを薄れさせる一文が追記されている事が多いのですが、書かれてないという事は、やってなかったのではないか?そうとも考えることができます。

 

当事者である朝日新聞の記事ですので、事実に基づいて慎重に記事が書かれたのではないかと思うのですが、PCログインが他要素認証で保護されていた様な記載もありませんし、暗号化も・・・まぁ怪しそうですですので、かなり怖い状態(ログインがIDとパスワードで保護程度)だった可能性を感じます。

忘れ物のカバンには、PCたけでなく朝日新聞の腕章などもあった様ですので、PCの資産価値を見出せるハッカーが見れば当該PCに重要情報の匂いを感じるのは間違いありません。ハードディスクを取り出して外からアクセスすれば、結構いろいろな情報が吸い出せたかも知れません。

 

今回のPC紛失は・・・幸いにも鉄道会社から無事に見つかりました。

www.asahi.com

 社員は6日朝、東京都内で電車内にかばんを置き忘れ、警視庁に届け出た。13日昼になって同庁から見つかったと連絡があり、経緯を調べたところ、6日昼すぎに駅員によって電車内で拾得され保管されていたことが分かった。

朝日新聞記事より引用)

 

ここでもう1つ疑問が生じます。警察に遺失届を出すのは当然の事ではありますが・・・

 

何故鉄道会社に連絡しなかったのか?

 

今回のケースであれば、報道される事も無くクローズできた可能性は極めて高いと思います。鉄道会社の遺失物は例えばJR東日本だとこの様な流れになります。

f:id:foxcafelate:20181118093255j:plain

電車内で先に忘れ物が見つかった場合、警察に遺失物として届けられるまでには時間がかかる事がよく分かります。誰かが見つけて警察に届ける事もありますので、電車の中であれば鉄道会社と警察の両方に届けた方が良いかも知れません。

 

しかし・・・朝日新聞の紛失した際の標準手順がどうであったのかは分かりませんが、教育の部分では改善の余地が結構ありそうです。

 

OWASPでの発表資料※今回の件とは直接関係ありません)で朝日新聞の方のものがありました。ここに良い事が書いてあったので引用します。

f:id:foxcafelate:20181118091045j:plain

他社のサイバー攻撃を報道する際の基本方針という事になるのですが、是非、自社での事件についても同じように考えて頂ければと思います。

ヒューマンエラーは起こるのが当然であり、(事件を起こした社員を)怒るのではなく、起こる事を前提として対策を考える事が肝要といえます。

 

 

f:id:foxcafelate:20181118090125p:plain

更新履歴

  • 2018年11月18日AM(予約投稿)