ペーパーレスが進んだとはいえ、日々の生活で紙がなくなるわけではない。毎日、会社や自宅で何かしらのゴミを捨てているだろう。しかし、そのゴミの中には、サイバー攻撃者にとって、役立つものが含まれていることがある。

サイバー攻撃者はそのゴミを武器として、悪用する危険性がある。気を付けないと、あなたのゴミがサイバー攻撃の足掛かりになってしまうかもしれない。

本稿では、カスペルスキーの公式ブログ「会社から出るごみを適切に処分する方法」をもとに、会社から出るゴミのうち、攻撃者に悪用されるものを整理し、それらを適切に処分する方法を紹介しよう。

ゴミとして捨ててはいけないものとは?

さすがに、「極秘」「社外秘」と記された書類をそのままゴミ箱に入れてしまう人はいないだろう。しかし、企業の信用を落としたり、標的型攻撃を仕掛けたりする際、重要な秘密情報は必要ないそうだ。

というのも、攻撃者は情報の断片さえあれば、それを悪用してソーシャルエンジニアリングによって従業員をだまし、さらなる情報を引き出すことができるからだ。

ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスにつけ込んで、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、ITを用いずに盗み出す方法である。

ソーシャルエンジニアリングにはさまざまな手法があるが、総務省の「国民のための情報セキュリティサイト」では、その例として、「電話でパスワードを聞き出す」「肩越しにキー入力を見る(ショルダハッキング)」「ごみ箱を漁る(トラッシング)」を挙げている。

特定の企業・組織を狙う標的型攻撃では、業務に見せかけたメールでその企業・組織の従業員をだまそうとするなど、ソーシャルエンジニアリングが用いられることが多い。

ソーシャルエンジニアリングに悪用される恐れのあるゴミ

外部からネットワークに侵入する際、事前に情報収集をするために行われることが多いのが「トラッシング」と言われている。

カスペルスキーは不正会計の証拠や自社が不利になることが記された報告書のような書類を捨てる習慣はないと仮定すると、危険が潜んでいるのは個人データと指摘している。

プライバシーの保護が厳しさを増している今、個人データを簡単に捨てることは法規制に抵触することになる。しかし、捨てられた個人データに端を発する事例は後を絶たないそうだ。

サイバー攻撃者がソーシャルエンジニアリングに使えると考えられるゴミとしては、以下があるという。

重要ではない仕事の書類

社外秘などの極秘書類ではなくても、部署の業務内容、普段使っている専門用語、自社の手続きなどがわかる書類であれば、攻撃者に悪用されるリスクがある。

上記のような情報を入手した攻撃者は、メールや電話によって業務プロセスの一員になりすまし、さらなる情報を引き出したり、ビジネスメール詐欺(BEC)を仕掛けたりすることが考えられるという。

封筒

当たり前だが、封筒には宛先と差出人が記されている。業務で用いられた封筒となれば、ビジネスの相関関係が示されている。例えば、攻撃者がA社の従業員がB社の従業員から紙の書類を受け取っていることを知ったとしよう。

その場合、封筒を受け取った人に接触して説明を求めたり、悪意あるリンクを実際の紙の書類の受け取り確認に見せかけて送りつけたりする可能性がある。

記録媒体

クラウドストレージが広く利用されるようになったとはいえ、仕事の現場では、USBメモリやハードディスクドライブが使われているだろう。デジタルカメラで撮影する必要がある部署なら、SDカードも使っているかもしれない。

壊れたスマートフォンがあれば、そこから連絡先リストやメッセージを引き出し、以前の持ち主のふりをすることができるし、USBメモリやハードディスクからは、仕事の書類や個人データを盗み取ることができる。

デリバリーの袋など

従業員の名前が書かれたデリバリーの袋でさえ、サイバー犯罪者にとってはチャンスとなるという。例えば、限定メニューやロイヤルティプログラムを案内する内容のフィッシングメールを送り、フィッシングサイトに誘導するという手口が確認されているそうだ。

ごみを正しく処分するには?

では、ゴミをサイバー攻撃者に悪用されないように処分するには、どうしたらよいのだろうか。

カスペルスキーは、まずは、情報を紙で残しておくのを最小限にするか、やめてしまうことを推奨している。脱炭素など、エコが求められる現代においては、正しい道筋だろう。

次に、紙類については、業務に少しでも関係のあるものはすべて粉砕することが重要となる。封筒も一緒にシュレッダーにかけることを忘れないようにしたい。

USBメモリなどの記録媒体は、機械的に使えないよう状態にしてから電子機器のリサイクルセンターに持ち込むとよい。CDやUSBメモリは割り、ハードディスクは電動ドリルかハンマーで破壊することで、使えないようにする。

なお、スマートフォンにも注意が必要だ。スマートフォンにはフラッシュドライブ、コンピュータにはハードディスクが入っているからだ。スマートフォンやコンピュータを捨てる場合は、データが読み取りれない状態になっているかどうかを確認する必要がある。

そして、こうしたことをすべての従業員に対し周知することが重要となる。一人一人が危機意識を持って行動しないと、日々の業務において上記のことを行うのは難しいからだ。