持ち主不明のUSBメモリを拾ったら、あなたはどうします?半径300メートルのIT

» 2014年01月20日 11時00分 公開
[宮田健Business Media 誠]

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。


 先日、少々気になるニュースがありました。岡山県のとある教育委員会あてに小学生児童の個人情報が入ったUSBメモリが郵送されてきたのです(参照リンク)。このUSBメモリは、小学校の先生が1年以上前に紛失したものでした。

 送り主は「1住民」とだけ書かれていました。同封の手紙には「先日拾って、中身を確認したが、小学校のものではないか。個人情報を扱う先生として危機感が不足しているのではないか」という指摘が書き添えられていた(参照リンク)といいます。

USBメモリの取り扱い、普段から気を付けていますか?

USBメモリ

 USBメモリは大変便利なアイテムで、家電量販店に行くと大容量で実用的なビジネス向けモデルから、華やかなファッションアイテム的なモデルまで、数え切れないほど展示されています。

 今でこそクラウド経由でのファイル送信が可能になりましたが、ほとんどの企業ではファイル交換サービスの利用を禁止していることでしょう。もちろんUSBメモリも表向きは禁止としているでしょうが、こちらはこっそりと使っている方も多いのではないでしょうか。

 くだんの小学校教師も個人所有のUSBメモリに児童の名簿や成績などの個人情報を入れ、自宅に持ち帰って作業していたのでしょう。今回の事件でも、そうせざるを得なかった事情があるのかもしれません。ひょっとしたら、「USBメモリを使うな」というルールもあったのかもしれません。

 今回は大きく報道もされました。おそらくこの小学校だけでなく、岡山県の教育委員会を通じてUSBメモリの利用ルールが厳格化されることでしょう。その場合、単純に「USBメモリを使用するな」という規制ではなく、「USBメモリを安全に利用するための仕組みを作る」ことに注力すべきかもしれません。

実は怖い、USBメモリ経由での「攻撃」

職員室

 USBメモリを郵送してきた人物は、善意からの行動だったのでしょう。同封されていた指摘ももっともなことです。しかし、筆者が最も気になったのは「USBメモリが善意の第三者から送られてきた」ということです。少し視点を変えてみると、これは怖いことかもしれないのです。

 今回、USBメモリは匿名で送付されています。また、添えられていた手紙には「児童の個人情報が含まれている」と書かれています。このような手段で送られてきた場合、教育委員会は投書を無視するわけにもいかず、USBメモリの中身を確認せざるを得ないでしょう。その中に例えば「児童名簿」という名前のエクセルファイルがあれば、それを開いてしまうことでしょう。

 でも、それが本物の「児童名簿」かどうかは開いてみないと分かりません。昨今、特定の企業や団体、個人を狙い撃ちし、特別に作った悪意あるプログラムを送り込む「標的型攻撃」が注目されています。攻撃者はさまざまな手段を使ってプログラムを実行させようとします。しかも、攻撃したことを悟らせないように、本物の「児童名簿」を表示してターゲットを安心させる偽装工作もします。

 今回は郵送でしたが、例えばその小学校に恨みを持つ人が、善人の顔をして「このUSBメモリ、校門のところに落ちていましたよ」と、ウイルス入りのUSBを持ち込んできたら……。果たして、このような攻撃をきっちりと防御できる学校や企業がどのくらいあるでしょうか。

知らない人からファイルが届いたら、どうすればいい?

 今回の事例では、匿名で届いたUSBメモリの中身を確認する前に、警察などに相談するのが正しかったのかもしれません。このような話は、何もUSBメモリだけではありません。企業のサポート窓口では、不特定多数の利用者からメールが届きます。そのすべてに目を通さなくてはなりませんが、そこに悪意あるプログラムが届く可能性は非常に高いのです。

 出所不明のファイルを処理せざるを得ない場合には、やはり徹底した「セキュリティ対策の実施」が必要でしょう。具体的にはセキュリティ対策ソフトの導入、OS、アプリケーションのアップデートが欠かせません。特に自治体では、まもなくサポート期間の切れるWindows XPしか存在しないというところもあるでしょう。そんな環境では、ネットワークにつながっていない隔離PCを1台用意して、そこでチェックするという方法も考えられます。

 持ち主の分からないUSBメモリが落ちていた場合、「無視する」というのも有効な防御手段です。もしかしたら、悪意あるものが狙っているのはあなたかもしれないのです。

Copyright © ITmedia, Inc. All Rights Reserved.