Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

役員は代表電話にはかけてこない

楽天もグループ会社が増えすぎて教育が追い付いてないのかも知れません。

www.nishinippon.co.jp

 

 楽天グループの複数の従業員が、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、従業員の情報を管理する社内システムに登録された氏名や役職、メールアドレス、内線番号などの複数の個人情報を社外に流出させていたことが、あなたの特命取材班への情報提供で分かった。再発防止に向け、楽天は社内システムの仕様や運用の見直しを進めているという。

 関係者によると、グループ会社の代表電話番号に役員を名乗る人物から英語で電話があり「出張先でパソコンの調子が悪く社内ネットワークに接続できないため、指定する従業員のメールアドレスを教えてほしい」と連絡があった

 役員を名乗る人物は、社内システムから従業員の個人情報を抽出する方法を指示。説明内容が具体的だったため、電話を受けた従業員は役員本人だと思い込んでしまった。抽出した情報はファイルにまとめ、偽役員が指定した社外のメールアドレスに送信。同じような連絡が複数回あった。応対した従業員が別部門に相談したことで、虚偽の指示と判明したという。

西日本新聞事より引用)

 

◆キタきつねの所感

西日本新聞のスクープ記事だった様です。楽天のニュースリリースにはこの内容の記載はありませんでした。グループ会社が多数ある楽天ですので、どこが狙われたのか分かりませんが、電話で偽の指示・・・もう少しでビジネス(ボイス)メール詐欺が成立しそうな雰囲気すら感じます。

犯人は内部事情に詳しい(元従業員でしょうか?)ので、電話での虚偽指示に引っかかった従業員はかわいそうな気もします。どちらかと言えば、楽天(グループ)の従業員教育に問題があった可能性が高いと思います。

 

攻撃を受けた後にアレコレ言うのはどうかとは思いますが、セキュリティ教育の教材になりそうな事件かも知れません。例えば英語での電話が代表電話にかかってくる。役員を名乗るのであれば、、すぐにおかしなところに気づくはずです。

 

何で役員は自分の部署に社用携帯で電話しないのでしょうか?

 

社内システムが調子が悪くても社用携帯は通じるはずです。普通自分の部署、部下に電話して調べてもらいませんでしょうか? 代表電話にかけてくる役員・・・聞いた事がありません。

 

次の疑問点ですが、

 

何で社外のメールアドレスにファイル送信させるのはコンプライアンス違反ではないでしょうか?

 

役員も社内ルールに従うのが当然です。ルールを曲げてまで個人情報を、しかもファイルで送信させる事に疑問を持つ様に、代表電話を受ける担当者を教育すべきではないでしょうか。(役員が常にコンプライアンスを無視した指示をかける企業文化だった場合はこの限りではありませんが・・・)

 

ついでに言えば、、怪しげな電話を受けた場合、多くの会社のマニュアルでは、コールバックする事が多いかと思います。代表電話にかかってきたフィッシング電話は、(想像になりますが)番号通知発信されてない状態だったかと思います。一度電話を切ってかけなおせば、発信(代表電話)側、に発信履歴が残るはずであり、相手の特定材料となるかと思います。

また、時間があれば、かけなおす番号をググってみると、何か異常に気付くかも知れません。

 

他にもまだありそうですが、最後の可能性に気づいて・・・楽天だったらあり得るかもと思った事があります。

 

実はレッドチームに三木谷会長が疑似攻撃を指示していた... 

 

こんなオチであれば、さすが楽天と思うのですが。。。

(海外では実際にそうした攻撃をしてもらう為にホワイトハッカーを雇う場合があるそうです)

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  ホワイトハッカーのイラスト


 

 

更新履歴

  • 2019年12月8日PM(予約投稿)