攻撃者が企業への標的型攻撃を準備する中で、有益な情報が見つかることを期待して、ごみ箱あさりという手段に出ることがあります。映画『サイバーネット』とは違い、ごみ箱から有効なパスワード50個が見つかることはさすがにないでしょうが、サイバー犯罪者が企業の廃棄したごみから有用な情報を発見する可能性はあります
ごみに出すべきでないもの
いくら楽観的な人物でも、ごみの中から「極秘」と記された書類一式が見つかるとは期待していません。企業の信用を落としたり標的型攻撃を仕掛けたりするのに、実は、大きな秘密情報は必要ないのです。攻撃者としては、何か情報の断片があれば、それを使ってソーシャルエンジニアリングによって従業員をだまし、さらなる情報を引き出すことができます。
ごみに紛れた情報
不正会計の証拠や自社が環境汚染に関与していると記された報告書のような書類を捨てる習慣はないと仮定すると、危険が潜んでいるのは個人データ(顧客情報と従業員情報)です。今の時代、そのようなものが見つかれば確実に規制当局に目をつけられ、多額の罰金を科されます。
しかし、捨てられた個人データに端を発する事例は後を絶ちません(リンク先は英語)。このような反面教師となる話はたくさんありますが、例えばピザの配達先住所リストが機密情報に当たることを、従業員全員が理解しているとはかぎりません。さらに気がかりなのは、身分証明の番号が付された医療記録、クレジットカード詳細が記載された請求書、身分証明書のスキャン画像といった、個人特定につながる情報を含む書類が捨てられている場合があることです。
サイバー犯罪者が「ソーシャルエンジニアリングに使える」と考えるもの
サイバー犯罪者は、不用意に捨てられた仕事の書類、封筒、記録メディアから見つけた情報を武器として利用することがあります。
仕事の書類:極秘扱いのデータが含まれない書類であっても、部署の活動内容、普段使っている専門用語、会社が設けている手続きなどが分かってしまうかもしれません。そのような情報を手にした攻撃者は、メールや電話によって業務プロセスの参加者になりすまし、さらなる情報を引き出したり、ビジネスメール詐欺(BEC)を仕掛けたりする可能性があります。
封筒:仕事関連の郵便物の封筒には、必ず受取人と差出人が書かれています。M社の従業員がN社の関係者から紙の書類を受け取っていることを知ったサイバー犯罪者は、例えば受取人に接触してもっともらしく説明を求めたり、悪意あるリンクを実際の紙の書類の受け取り確認に見せかけて送りつけたりする可能性があります。
記録メディア:これはまさに情報の宝庫になり得ます。例えば壊れたスマートフォンがあれば、そこから連絡先リストやメッセージを引き出し、以前の持ち主のふりをすることができます。USBメモリや廃棄されたハードディスクには、仕事の書類や個人データが大量に入っているかもしれません。
ランチデリバリーの袋など:一般論として、従業員の名前が書かれたランチデリバリーの袋でさえ、サイバー犯罪者にとって好機となります。例えば、限定メニューやロイヤルティプログラムを案内する内容のフィッシングメールを送り、フィッシングサイトに誘導するなどです(確かにあまり一般的な手口ではありませんが、実際にある手口です)。
ごみを正しく処分する方法
手始めに、情報を紙で残しておくのを最小限にするか、いっそのことやめてしまうことをお勧めします。地球環境のためになるだけでなく、廃棄の問題をうまくかわすことにもなります。
処分の方法ですが、まずは紙関連です。会社の業務に少しでも関係のある紙の書類は、すべて粉砕してください。個人データを含むものだけではなく、書類はすべて、封筒も一緒にシュレッダーにかけましょう。
続いて、記録メディア(ハードディスク、USBメモリ、CDなど)です。記録メディアは、機械的に使用不能にしてから電子機器のリサイクルセンターに持ち込みます。CDやUSBメモリはプライヤーで割り、ハードディスクは電動ドリルかハンマーで破壊します。見落としがちですが、スマートフォンにはフラッシュドライブ、コンピューターにはハードディスクが入っています。スマートフォンやコンピューターを捨てる場合は、データが読み取り不可能になっていることを確認してからにしましょう。
小包など配達物の箱や袋を捨てるときは、受取人の名前や住所が書かれたラベルをはがし、書かれている情報が分からないように破るなりしてから廃棄します。
企業のセキュリティは、そこで働く全員が、これらのルールを理解して従っているかどうかにかかっています。そのことをどうぞお忘れなく!それこそ受付係から役員まで、役職に関係なく全員が、危険になり得る情報の扱いについて基本的かつ実用的な知識を持つことが必要です。