情報漏えい

データ保護

二次漏えいから情報を守る

- 情報漏えいの深刻なリスク企業にとって、顧客情報や企業秘密などの重要な情報が外部に漏れてしまうことは、会社の信頼を大きく失墜させ、最悪の場合、事業の継続すら危ぶまれる深刻な問題です。情報漏えいは、社員による故意の持ち出しや、悪意のある第三者による不正アクセスなど、様々な要因で発生する可能性があります。情報漏えいの発生源は、大きく分けて「内部」と「外部」の二つに分類できます。内部からの漏えいとは、社員や元社員、取引先など、企業と何らかの関係を持つ人物が情報を持ち出すケースです。うっかりミスや、不正な利益を得る目的で行われるなど、その背景は様々です。一方、外部からの漏えいとは、インターネットを介した不正アクセスや、ウイルス感染などによって情報が盗み出されるケースを指します。情報漏えいは、その経路も様々です。例えば、紛失や盗難による情報漏えいは、パソコンやUSBメモリなどの記録媒体を、適切に管理していなかった場合に起こりえます。また、インターネットを介した情報漏えいには、不正アクセスやウイルス感染のほか、フィッシング詐欺など、手口は多岐にわたります。このように、情報漏えいの発生源や経路は多岐にわたるため、企業はあらゆる可能性を考慮した上で、組織全体で情報セキュリティ対策を徹底する必要があります。
サイバー犯罪

内部不正を防ぐための基礎知識

- 内部不正とは企業の成長を妨げ、社会的な信用を失墜させるリスクをはらむ内部不正。その実態は一体どのようなものなのでしょうか。内部不正とは、会社や組織に所属する人間が、業務を通じて知り得た機密情報や重要な情報を不正に持ち出したり、外部に漏らしたり、消したり、壊したりする行為を指します。つまり、普段から会社の情報にアクセスできる立場にある従業員や退職した従業員、取引先関係者など、組織内部の人間によって引き起こされる不正行為のことを指します。内部不正は、大きく分けて「情報漏えい」「資金横領」「不正アクセス」の3つに分類されます。情報漏えいは、顧客情報や技術情報など、会社の重要な情報を不正に持ち出したり、外部に漏らしたりする行為です。顧客情報が漏えいした場合、企業は顧客からの信頼を失い、大きな損害を被る可能性があります。また、技術情報が競合他社に渡れば、会社の競争力が低下する恐れがあります。資金横領は、会社の金銭を不正に取得する行為です。横領が発覚した場合、企業は財務的な損失を被るだけでなく、社会的信用も失墜する可能性があります。不正アクセスは、本来アクセス権限を持たない情報にアクセスする行為です。不正アクセスによって情報が書き換えられたり、消去されたりすると、会社の業務に支障をきたす可能性があります。内部不正は、企業にとって大きな脅威です。しかし、内部不正は決して他人事ではありません。企業は、内部不正のリスクを正しく認識し、適切な対策を講じる必要があります。
脆弱性

XML外部エンティティー攻撃からWebアプリを守る

- XML外部エンティティーとはXML外部エンティティーは、XML文書の中に外部のデータを取り込むための便利な仕組みです。しかし、この便利な機能は、悪意のある第三者によって悪用される可能性があり、セキュリティ上のリスクにつながることがあります。XML文書を処理する際に、外部エンティティーの参照を許可していると、攻撃者がその仕組みに便乗して悪質なデータを読み込ませる可能性があります。例えば、サーバー上に保存されている重要な設定ファイルやアクセス制限のない個人情報を含むファイルなどを、外部エンティティーとして指定し、その内容を不正に取得することが考えられます。さらに危険なのは、外部エンティティーを経由して、本来アクセスできないはずの外部のサーバーと通信させられてしまう可能性があることです。攻撃者は、外部エンティティーとして悪意のあるスクリプトが仕込まれた外部サーバーのアドレスを指定し、XML文書を処理させることで、そのスクリプトを実行させることが可能になります。これにより、機密情報の漏洩や、さらに別のサーバーへの攻撃などの被害が発生する可能性があります。このようなXML外部エンティティーの脆弱性を悪用した攻撃を防ぐためには、外部エンティティーの参照を制限することが重要です。XMLパーサーの設定を変更し、外部エンティティーの処理を無効にするか、信頼できる特定のエンティティーのみを許可するように設定することで、リスクを大幅に軽減できます。XML外部エンティティーを利用する際は、セキュリティリスクを正しく理解し、適切な対策を講じることが重要です。
脆弱性

ウェブサイトの落とし穴!クロスサイトスクリプティングから身を守る

インターネットは私たちの生活に欠かせないものとなりましたが、それと同時に、目に見えない危険も潜んでいます。その一つが、クロスサイトスクリプティングと呼ばれる攻撃です。 クロスサイトスクリプティングは、略してXSSとも呼ばれ、信頼できるウェブサイトになりすまして、利用者を騙そうとします。 例えば、よく利用するショッピングサイトを思い浮かべてください。そのサイトに、悪意のある第三者が仕掛けた罠があるとします。いつものようにログインしようとすると、実は偽のページに誘導され、IDやパスワードを盗み取られてしまうかもしれません。 さらに悪質なケースでは、ウイルスを仕込んだプログラムを送り込まれ、パソコンを乗っ取られてしまうこともあります。 このような被害を防ぐためには、ウェブサイトの運営者が適切な対策を講じることが重要です。しかし、利用者側も、安易に個人情報を入力しない、セキュリティソフトを導入するなど、自衛策を講じることが大切です。
サイバー犯罪

街中Wi-Fiの落とし穴:ウォー・ウォーキングにご用心

- 身近に潜む脅威 スマートフォンやタブレットを持ち歩くのが当たり前の現代では、街中のいたるところで無料Wi-Fiスポットを見かけるようになりました。カフェやレストラン、駅など、いつでもどこでもインターネットに接続できる便利な環境は、私たちの生活に欠かせないものとなっています。しかし、その利便性の裏には、危険が潜んでいることを忘れてはいけません。悪意を持った人物が、あなたの大切な情報を盗み見ようと、ひそかに「ウォー・ウォーキング」を行っている可能性があるのです。 「ウォー・ウォーキング」とは、無線LANの電波を盗聴し、個人情報を探ろうとする行為のことです。無料Wi-Fiスポットは、誰でも簡単に利用できる反面、セキュリティ対策が甘い場合があります。悪意のある人物は、そのような脆弱なWi-Fiスポットに目をつけ、接続している人々の通信内容を盗み見ようとするのです。 彼らが狙うのは、インターネットバンキングのIDやパスワード、クレジットカード情報、個人を特定できる情報などです。これらの情報が盗み見られると、金銭的な被害だけでなく、なりすましなどの犯罪に巻き込まれる可能性もあります。 便利な反面、危険と隣り合わせであることを認識し、安易に無料Wi-Fiスポットに接続しない、個人情報を入力する際は通信が暗号化されているかを確認するなど、自衛意識を高めることが重要です。