Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

トラッシングの脅威は増しているのか?

つぶやいてみた。

ハリウッド映画に出てくる”スパイ”が良く使う情報収集手法として、古くからトラッシング(ゴミ箱漁り)というものがあります。コロナ禍において、トラッシングの脅威が変化しつつある様です。

ascii.jp

 個人情報は、悪意のある攻撃者の標的だ。少なくとも、できるだけ漏れないようにする必要がある。 オンラインで購入したもののレシートや、リサイクル用に捨てた紙に記載されている情報など、誰に見られてしまうか分からないため、機密情報の廃棄には細心の注意を払う必要がある。

 先日、小包を受け取った際、その外側に自身の電話番号が記載されていたのにとても驚かされた。今まであまり経験のないことだった。個人情報保護の観点から望ましくないのに加え、電話番号がサイバー犯罪者に悪用される恐れもある。過去に漏えいした情報やダークウェブ上で得られる情報と組み合わせて、個人が特定されてしまうかもしれない。実際、今年のはじめにFacebookは、5億3300万件の電話番号がEメールアドレスと合わせてインターネット上で検索可能な状態であると報告した。これはサイバー犯罪に悪用されるリスクが極めて高い。

 

キタきつねの所感

いわゆるソーシャルエンジニアリング手法の1つ、トラッシング(ゴミ箱漁り)なのですが、これは古くから存在する攻撃手法です。

ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

 

映画では、少し古い映画、2006年公開のハリソン・フォードファイヤーウォールを思い出しますが、サイバー攻撃手法とは違い、物理的な手法であるにも関わらず、未だに”注意喚起”が出される所に、少し形を変えたソーシャルエンジニアリング”の脅威を感じます。

ファイヤーウォール [Blu-ray]

ファイヤーウォール [Blu-ray]

Amazon

 

ASCIIの記事で”留意が必要”だとされているのは、意外な所でした。

 

 個人情報は、悪意のある攻撃者の標的だ。少なくとも、できるだけ漏れないようにする必要がある。 オンラインで購入したもののレシートや、リサイクル用に捨てた紙に記載されている情報など、誰に見られてしまうか分からないため、機密情報の廃棄には細心の注意を払う必要がある。

 先日、小包を受け取った際、その外側に自身の電話番号が記載されていたのにとても驚かされた。今まであまり経験のないことだった。個人情報保護の観点から望ましくないのに加え、電話番号がサイバー犯罪者に悪用される恐れもある。過去に漏えいした情報やダークウェブ上で得られる情報と組み合わせて、個人が特定されてしまうかもしれない。実際、今年のはじめにFacebookは、5億3300万件の電話番号がEメールアドレスと合わせてインターネット上で検索可能な状態であると報告した。これはサイバー犯罪に悪用されるリスクが極めて高い。

(ASCII記事より引用)

 

コロナ禍(在宅勤務)による巣籠り需要で、通販の利用が拡大しているとのデータが色々と出ていますが、個人的に思い返してみても・・・日々受け取る荷物は、一昨年辺りと比べると確実に増えている事を実感します。

その中には海外から直接発送されたものなどを含めて、電話番号やメールアドレスなどの個人情報が(余計に)印刷されている送り状や、納品書も確かにあった気がします。

 

これらの情報の中には個人情報が含まれる可能性もあるのですが、当然の事ながら、家で仕事をしている在宅勤務の方は、会社の情報(機密情報)も含まれる訳です。適切に処分(出来ればシュレッダー処理)をする事が肝要かと思います。

 

余談ではありますが、(上に書いたのは正論ですが)withコロナで在宅勤務がそのまま週数回定着したとしても、1セキュリティコンサルタントの立場としては、「リスク値」は低く評価するかと思います。

その判定根拠として挙げるのが、映画の世界や、芸能人や若い女性を狙った様なストーカー事件を別にして、トラッシング(ゴミ箱漁り)を原因としたインシデントを最近見かけた事がない事です。

例えばマンションのゴミ置き場で、ガサゴソと袋を開けている不審者が出ているケースが、こうしたトラッシング「ヒヤリ・ハット」となるかと思いますが、(私が知らないだけでしたら申し訳ありませんが)新聞等の記事、あるいは自分の周辺で聞いた記憶がありません。

 

トラッシング潜在的なリスクである事は否定しませんが、企業の出す”ゴミ”(≒機密情報が入っているかも知れない)に比べて、攻撃者が一般ごみの中から機微な情報を探しだすのは、案外ハードルが高い気がします。

例えば、物理的にその場にいる必要がある事から”偶然人に出くわす”又は”防犯カメラ”に映ってしまうリスクもあり、同じ地区(マンション)に住んでいる方を除いては、そのリスクを回避する為に短時間でトラッシングを終わらせる事が必要となる気がします。

こうした”制約”を考え、個人的には(テレワークの)リスク評価をする際には、”リスク値は低い”と判断するかと思います。

 

こうしたリスクへの対策としては、王道は”シュレッダー”です。(私も買いましたが)スピードが少し遅くても、家庭用の「クロスシュレッダー」はそう高く機器ではありませんので、在宅勤務がメインとなる(機微な情報を普段から取り扱う/紙資料が多い仕事をされている)方は、家に持っておいた方が良いかと思います。

アイリスオーヤマ シュレッダー 家庭用 高速細断3.7m/分 細断枚数8枚 クロスカット 連続使用3分 ダストボックス8.9L A4/65枚収容 コンパクト P8GC アイボリー

アイリスオーヤマ シュレッダー 家庭用 高速細断3.7m/分 細断枚数8枚 クロスカット 連続使用3分 ダストボックス8.9L A4/65枚収容 コンパクト P8GC アイボリー

Amazon

 

紙資料の量が普段から少ない方は、それでもシュレッダー導入は個人的にオススメではありますが、会社(オフィス)に出社する際にまとめて資料を処分する事も1つの対策かと思います。

記事にある様な個人的な通販小包の宛名シールや、納品書は会社に持ち込みが出来ませんので、別な袋に入れて透明ゴミ袋の「外から見えない」状態にして捨てる、又は各々の「捨てる紙(シール)」を分割して別々なごみ袋に入れて捨てる事も、代替案としてオススメです。

こうした対策だけで完全に情報漏えいを防げる訳ではありませんが、漏えい情報の発見や復元に手間がかかる状態を作り出す事で、本気で”トラッシング”をしようとしている攻撃者以外の攻撃は十分に回避できるかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ゴミを漁るカラスのイラスト

 

更新履歴

  • 2021年10月24日 AM