個人の方ファイル交換ソフトによる情報漏えい対策

本文を印刷する

ファイル交換ソフトによる情報漏えい対策

情報漏えいの脅威

企業(組織)からの情報漏えいは、個人情報保護法の施行以来、注目度がアップし、企業で働く社員にとっても大きな脅威になっています。

漏えいした情報の悪用による二次被害

漏えいした情報の悪用によって次のような二次被害が報告されています。

  • 企業(組織)のブランドイメージの低下
  • 企業(組織)あるいは個人への脅迫
  • 個人情報を不正に転売
  • 金銭奪取
    • a. 預金を不正に引き出される、送金される
    • b. オンラインショッピングで不正に注文

ファイル交換ソフト利用による情報漏えい事故

これまでに報告されている情報漏えい事故には次のようなものがあります。

  • 原発情報流出
  • 警察の捜査資料が流出
  • 銀行の預金者情報が流出
  • 病院から患者の手術情報が流出
  • 自衛隊の機密情報が流出
  • オンラインショピングの顧客情報が流出
  • 証券取引所のシステム情報が流出
  • 空港の保安情報が流出
  • 企業から顧客情報が流出

ファイル交換ソフトとは?

  • インターネット上で、不特定多数のコンピュータ間でファイル(データ)をやり取りできるソフトウェア。
  • P2P (Peer to Peer) ソフト、とも呼ばれています。
  • 1999年1月にUSAで誕生したMP3データ交換ソフト「Napster」が先駆け。
  • 現在では数多くのファイル交換ソフトが存在し、日本では Winny、Share などが有名です。

ファイル交換ソフトの仕組み

公開したいフォルダを自分で設定すると、そのフォルダ内のファイルが共有されることになります。

公開したいフォルダを自分で設定すると、そのフォルダ内のファイルが共有されることになる。

Antinnyウイルスによる情報漏えい

ファイル交換ソフトWinnyを介して感染を拡げるAntinnyというウイルスに感染すると、公開したくないファイルであっても自動的に公開用フォルダにコピーされてしまい、その結果、個人情報、顧客情報等が漏えいしてしまうことになります。

Antinnyウイルスによる情報漏えい

P2P経由で情報が漏えいする仕組み

P2P経由で情報が漏えいする仕組み

感染経路

次のような経路からウイルスに感染します。

  • ダウンロードしたファイルを開くことでウイルスに感染
    • P2Pファイル交換で入手したファイル
    • 掲示板からダウンロードしたファイル
    • メールで送られてきたファイル
  • どうしてファイルを開いてしまうのか
    • 「お宝写真集」「秘蔵写真」など、気を引くファイル名によって開いてしまう。
    • アイコンや拡張子などを詐称されたファイル名によって開いてしまう。

詐称されたファイル名

  • 二重拡張子を使いファイルを偽装する
  • アイコンを偽装する

詐称されたファイル名

不正な動きの偽装(感染の偽装)

圧縮ファイルと思って開くと画面にエラーが表示されます。しかしこの表示は偽装で、見えないところでウイルスが動作を開始しています。

圧縮ファイル? 不正な動きの偽装(感染の偽装)

Winnyに脆弱性が発見されました。(2006年4月21日公表)

開発者による修正は公表されていないため、推奨する回避策は「Winny利用の中止」になります。

Winnyに脆弱性が発見されました。(2006年4月21日公表)
Winny(ウィニー)の安全上の問題箇所(脆弱性)の公表について

ウイルス対策ソフトの利用

  • 企業(組織)内で規定されたウイルス対策ソフトがある場合は、ポリシーや管理者の指示に従う
  • 取得したファイルは必ずウイルス対策ソフトでチェックを行う
  • 定期的なコンピュータのウイルス検査(コンピュータスキャン)を実施する
  • ただし、ウイルス対策ソフトを過信しない
    特に、ファイル交換ソフトで流通しているファイル(不正プログラム)は、ウイルス対策ソフトの対応(定義ファイルの更新)が遅れるケースがあるため、検出されないからといって安易に開く(実行する)ことのないようにご注意ください。

ファイル交換からの情報漏えいを防ぐ

  • ファイル交換ソフトの仕組みを理解する
  • 興味本位の利用は危険である
  • 間違った操作で情報漏えいする場合もあるので、重要な情報のあるパソコンではファイル交換ソフトは利用しない
    →企業(組織)内での使用は厳禁
  • 現状では、使わないことがベストな対策

ファイル交換からの情報漏えいを防ぐ(予防策)

  1. 漏えいして困る情報を取り扱うパソコンには、P2Pファイル交換ソフトを導入しない
  2. 職場のパソコンに許可無くソフトウェアを導入しない、または、できないようにする
  3. 職場のパソコンを外部に持ち出さない
  4. 職場のネットワークに、私有パソコンを接続しない、または、できないようにする
  5. 自宅に仕事を持って帰らなくて済むように作業量を適切に管理する
  6. 職場のパソコンからUSBメモリやCD等の媒体に情報をコピーしない、または、できないようにする
  7. 漏えいして困る情報を許可無くメールで送らない、または、送れないようにする
  8. ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常に監視する
  9. 不審なファイルは開かない