Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

通販サイトのアカウント情報登録に公用/会社アドレスを使わないで

テレビ朝日の4月3日ニュースで、中央省庁の職員約2000名分のメールアドレスが流出していると報道されていました。

news.tv-asahi.co.jp

内閣サイバーセキュリティセンターによりますと、各省庁の職員が通販サイトなどに登録した公用のメールアドレスが流出したということです。流出したメールアドレスは「ダークウェブ」と呼ばれる通常のインターネット経由ではアクセスできないサイトに掲載されていることが分かりました。登録したサイトなどに接続するためのパスワードも流出しているということです。(テレビ朝日記事より引用)

 

この件について、菅官房長官の4月4日記者会見で関連質問がされていました。

www.kantei.go.jp

時事通信記者

 中央省庁職員約2000人分の公用メールアドレスが流出している事があきらかになりました。政府として把握している事実関係はどうなってますでしょうか?

 

■菅官房長官
 まずご指摘の点でありますけれども、政府機関以外の組織が運営するインターネットサイトから、そのサイトにアカウント情報として登録されたメールアドレスと当該サイトで用いられる、パスワードが漏えいしており、その中には政府機関の職員のものと見られるものが含まれている、この様な報告を受けております。

 本件については、政府機関の情報システムがサイバー攻撃を受けたものではないということです。しかし流出した情報が悪用されることがないよう、対策を講じることが重要だと思います。この点に関しては政府の情報セキュリティ対策基準においては、政府機関の内部と外部のシステムにおいて共通のパスワード、これを使用することを禁止してます。また政府機関の業務のために使用しているメールアドレスやパスワードを私的に利用することも禁止しております。

 内閣サイバーセキュリティセンターにおいては、これまでにも各市町村や、独立行政法人に対して注意喚起を行ってきているが、昨日改めて注意喚起を行ったわけであります。

 

時事通信記者

 現在把握している流出した数というのはいくつになるんでしょうか

 

■菅官房長官

 詳細については承知をしておりません。政府としては引き続き必要な対応を行ってまいりたい、こういう風に思います。

(記者会見内容から引用)

 

◆キタきつねの所感

NISCが4月3日に中央省庁等へ注意喚起をした事を受けての報道の様ですが、官房長官への記者会見で質問をしていた時事通信の記事では、

www.jiji.com

NISCによると、通販サイトなどから利用者のメールアドレスやパスワードが流出。(時事通信記事より引用)

と、(NISCへの追加取材の結果か)どこかの通販サイトから省庁職員2000件規模の登録情報が漏えいした事を示唆しています。注意喚起の内容については、毎日新聞記事には、

  • インターネット上で複数のサイトで同じパスワードを使いまわすことの禁止
  • 必要に応じてパスワードを変更する

とありましたので、気軽に公用メールアドレスで買い物(登録)をしている職員が多い事が容易に想像できます。まさか職場で受取をしている・・なんて事は無いと信じたいのですが、公用メールアドレスの重要性について(悪用リスク高いのだと)一部の職員の方々は理解してない事は残念なところです。

 

こうしたメールアドレスがどう悪用される可能性があるかと考えると、まずはパスワードの使いまわしがされている場合は、他のサイトで不正利用が試みられるでしょうし、パスワードが使いまわしされてなかった、あるいは変更が間に合ったとしても、公用メールアドレス自体は変わってない訳ですから、標的型メール(スパムメール)で直接の攻撃対象、あるいは攻撃対象に近づくために偽造するメールアドレスとして使われてしまうリスクは防ぎきれないかも知れません。

この手のセキュリティ対策では、共用パスワード禁止および公的メールアドレス・パスワードの私的利用の禁止を啓蒙する事は重要だとは思いますが、その実現方法として、公的メールアドレスを使う位なら、私用アドレスやフリーメール(GoogleやYahoo等)を使う方がリスクが少ない事も併せて啓蒙した方が良いのではないかと思います。

 

twitter.com

この件とは直接関係無い・・・と思いたいですが、NISCでは4月に入っても楽天(ここも通販サイトでもありますが・・)やAppleを騙ったフィッシングメールが相当ばら撒かれている様です。併せて(不審なメールを踏まないよう)注意が必要かも知れません。

 

 

 

スパムメール・迷惑メールのイラスト

 

更新履歴

  • 2018年4月14日PM(予約投稿)