企業データが漏れ出る4つの経路

機密情報の「うっかり公開」がいかに起きやすいか、それが分かる話をいくつかご紹介します。

コンサートチケットの写真をInstagramに投稿する際にバーコードを隠していなければ、何者かがあなたの代わりにお気に入りのバンドに会いに行ってしまうかもしれません。バーコードを隠したとしても、使うツールが間違っていれば、同じことが起きる可能性があります。

とは言え、チケットを見せびらかしたいときはバーコードを隠してから投稿するように気をつけるのは、それほど難しくありません。一方で、チケットが写っているのに気付かずに写真を投稿してしまう、パスワードをメモした付箋が偶然写り込んだ写真を投稿してしまう、という場合もあります。今回取り上げるのは、公にするべきではないデータを気付かぬうちにオンラインで公開してしまったケースです。

1. 背景にパスワードが写った写真

オフィス内やどこかの施設内で撮影された写真や動画からパスワードや秘密が漏れるケースは、皆さんが思うよりずっと多いのです。同僚のスナップ写真を撮るとき、背景に注意を払う人はあまりいませんが、結果として恥ずかしい思いをすることになるかもしれません。もしかすると、危険な目に遭うことも…。

軍事情報の漏洩

2012年、英国空軍が大失態を犯しました(英語記事)。当時空軍の部隊に所属していたウィリアム王子のフォトレポートとともに、MilFLIP(military flight information publications:軍用機の運用情報システム)のログイン情報が公開されてしまったのです。ケンブリッジ公ウィリアム王子の後ろの壁に、ユーザー名とパスワードが書かれた紙が貼られていました。

この写真は、王室の公式Webサイトに公開された直後に、レタッチされたバージョンに置き換えられ、人々の目に触れたパスワードも変更されました。新しいパスワードがまた壁に張り出されたかどうかは分かりません。

MilFLIPのログイン情報が室内装飾に。

MilFLIPのログイン情報が室内装飾に。出典

ウィリアム王子の一件は、それほど珍しいことではありません。あまり著名ではない軍関係者も、インターネット上で秘密情報を公開することがあります。報道機関が関与する場合も関与しない場合もありますが、たとえば、ある将校の場合、自撮り写真をSNSに投稿したところ、背景に写っていた動作中のディスプレイに秘密情報が表示されていました(英語記事)。この人は「再教育と訓練」という軽い処分で済みました。

オンエア中での漏洩

2015年、フランスのテレビ会社であるTV5Mondeが、サイバー攻撃を受けました。正体不明の人物が同社のWebサイトとFacebookページをハッキングして書き換えてしまい、放送が数時間にわたって中断しました(英語記事)。

その後の出来事で、事態はドタバタ劇に変貌しました。TV5Mondeの社員がこの攻撃についてテレビ取材を受けたとき、同社のSNSアカウントのパスワードが背景に写っていたのです(英語記事)。画像の中の文字は判読が難しかったのですが、熱心な人々はTV5MondeのYouTubeアカウントのパスワードを解明してしまいました。

偶然にも、この件はパスワード作成の反面教師でもありました。問題のパスワードは「lemotdepassedeyoutube」だったのですが、これをフランス語から翻訳すると、文字どおり「youtubeパスワード」となります。幸い、同社のYouTubeアカウントやその他のアカウントは無傷で済みました。しかし、パスワードが背景に写り込む話は、最初のサイバー攻撃について考察の材料を与えてくれます。

インタビューに答えるTV5Monde社員の背景にパスワードが写っている。

インタビューに答えるTV5Monde社員の背景にパスワードが写っている。出典

同様の出来事は、2014年の第48回スーパーボウルの直前にも起きています。このときは、スタジアム内Wi-Fiのログイン情報がテレビカメラマンのレンズに映り込んでいました(英語記事)。皮肉なことに、この映像はイベントの警備の責任を負う指令センターのものでした。

スタジアムの指令センターのスクリーンに表示されたWi-Fiのログイン情報。

スタジアムの指令センターのスクリーンに表示されたWi-Fiのログイン情報。出典

2. フィットネストラッカー

自分の健康状態のモニタリングに使うデバイスを他人に利用されて、自分自身がモニタリングされてしまう可能性や、さらには手の動きからクレジットカードのPINコードなどの機密データを割り出される可能性は、十分に考えられます。確かに、後者のシナリオは少し非現実的ではあります。

しかし、秘密の施設の場所に関するデータ漏洩は、残念ながら完全に現実に起きています。たとえば、1,000万人超の利用者を抱えるフィットネスアプリStravaは、利用者のジョギングルートを公開マップに記します。このマップによって、軍事基地も照らし出されてしまいました(英語記事)。

Stravaにはルートを表示させない設定がありますが、利用者の皆が皆こうした技術に詳しいわけではないようです。

アフガニスタンの米軍基地での兵士の動きがStravaのヒートマップに表示された。

アフガニスタンの米軍基地での兵士の動きがStravaのヒートマップに表示された。出典

米国国防総省は2018年、新たな漏洩の脅威を理由に、配置された米軍兵士に対しフィットネストラッカーの使用を完全に禁止しました(英語記事)。米軍基地で日々を過ごしていない人々にとっては、これは行き過ぎかもしれません。それでも、フィットネスアプリのプライバシー設定の変更に少しばかり時間を割くことをお勧めします。

3. メタデータ

つい忘れがちですが(そもそも知らない場合もありますが)、ファイルに関する情報、いわゆるメタデータに秘密が隠されている場合もあります。特に写真には、撮影場所の位置情報が含まれているものです。

2007年に、米軍兵士が(一定のパターンが見えてきたようです)イラクの基地に到着するヘリコプターの写真をインターネット上に投稿しました(英語記事)。画像のメタデータには、その場所の正確な座標が含まれていました。この情報が後に敵の攻撃に利用され、米国のヘリコプターが4機破壊されたとの見解もあります。

4. SNSでの過剰なシェア

その人の友達を見ただけで、秘密が分かってしまうこともあります。たとえば、ある企業の責任者のフレンドリストに、特定地域の営業担当者たちが突然追加されだしたら、競合他社は、その企業が新しい市場を調査中で、そこで密かに優位に立とうとしているのだと結論付けるかもしれません(英語記事)。

2011年、Computerworldのジャーナリストであるシャロン・マクリス(Sharon Machlis)氏が、LinkedInから情報を集める実験を行いました(英語記事)。LinkedInを20分調べただけで、Appleのオンラインフォーラムのモデレーターの人数や、同社の人事部門のインフラ構成などが判明しました。

同氏が認めているように、企業秘密のようなものは見つかりませんでしたが、Appleはプライバシーを一般の会社より真剣に捉えていることを矜持とする会社です。その一方、同じくLinkedInに掲載されていたHPのバイスプレジデントの職務から、同社がどのようなクラウドサービスに取り組んでいるのか誰でも調べられるようになっていました。

不注意からのデータ流出を避けるためには

社員が会社に関する多くの情報を意図せず共有してしまうことがあります。自社の秘密が公知の情報とならないようにするには、オンラインでの情報公開に関する厳格なルールを定め、全社員に周知する必要があります。

  • SNSへの投稿用に写真や動画を撮影するときは、写るべきでないものがフレームに入らないようにしてください。誰かが社員やオフィスの写真または動画を撮影する場合も同じです。取材する側はそういったことを気にしませんが、あなたのパスワードがインターネットに流れてしまったら、あなたが厳しい処分を受けるかもしれません。撮影は、撮影用の場所で行ってください。撮影用の場所がない場合は、せめて撮影前に壁やデスク周りを確認するようにしましょう。
  • ビデオ通話や電話会議の際には、相手が同僚やパートナーであっても、他の人から見て自分の後ろに何が見えるかに注意する必要があります。
  • SNSでは、公にすべきでない個人の連絡先および会社の連絡先を非表示にしましょう。競合他社、詐欺師、他人の不幸を願う者たちが、その情報をあなたに不利な形で利用する可能性があることをお忘れなく。
  • ファイルを投稿する場合は、メタデータを削除してからにしましょう。Windowsコンピューターでは、ファイルのプロパティで削除できます。スマートフォンの場合は、メタデータを消すアプリがあります。写真がどこで撮影されたか、文書が誰のコンピューターで作成されたかの情報まで他人に教える必要はありません。
  • 自分の功績を自慢したくなったら、仕事の成功が実際には企業秘密なのではないかと考えてみてください。少なくとも、自分の偉業を細部に至るまで明らかにするのは賢明ではないでしょう。

 

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?