USBメモリに起因した情報漏洩が度々発生しています。2023年10月に発覚した約900万件の個人情報流出問題もUSBメモリによるものでした。企業や組織が個人情報や機密情報を漏洩すると社会的な信用を失うことにつながるため、注意と対策が必要です。本記事では、USBメモリに起因する情報漏洩の原因や事例を紹介し、具体的な対策方法を解説します。
USBメモリに潜む情報漏洩 3つのリスク
USBメモリは手軽で便利なため、日常的に業務で使用する人は少なくありません。ただし、USBメモリの利用は情報漏洩リスクを高めるおそれがあることを理解しておく必要があります。
1. 紛失・盗難のリスク
USBメモリは、持ち運びしやすいため、顧客情報や機密情報を保存してあるUSBメモリを外出先で紛失してしまうと、そこから情報漏洩につながります。
紛失しないよう細心の注意を払っていても、悪意を抱く第三者に盗まれるリスクはゼロにはできません。よくある例として、社内のデスクやカフェのテーブルの上などに何の気なしに置いてしまい、盗まれるパターンがあげられます。
2. マルウェアへの感染リスク
悪意を持ってマルウェアが仕込まれたUSBメモリもあります。マルウェアが仕込まれているUSBメモリを気づかずに使用すると、デバイスや社内のシステムに感染するおそれがあります。つい中身を確認したい人の心理を悪用して、マルウェアを仕込んだUSBメモリを意図的に放置する手口もあります。
業務で使用しているパソコンがマルウェアに感染すると、ネットワークを介して感染が拡大し、システムのダウンやデータの暗号化とロック、そして身代金の要求など、さまざまな被害に遭うおそれがあります。
ドイツ連邦政府情報セキュリティ庁が作成し、日本の独立行政法人情報処理推進機構(IPA)が公表した「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」では、「リムーバルメディアや外部機器経由でのマルウェア感染」が第一項目として記載されています。
参照:[ドイツBSI] 産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022- | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
3. 不正なデータ持ち出しのリスク
機密情報を格納したUSBメモリを従業員が不正に外部へ持ち出す事案も後を絶ちません。従業員が、顧客情報を不正に外部へ持ち出し、第三者へ情報を売却する事態が生じると、企業の社会的信用が失われます。
このような事態を回避するには、機密情報へのアクセス権限を適切に付与する、情報へのアクセスログを取得できる環境を整備する、USBメモリの使用を禁止するなどの対策を取る必要があります。
USBメモリ紛失によるセキュリティインシデントの事例
IPAが発表した「情報セキュリティ10大脅威2023」によれば、USBメモリの紛失は複数のリスク要因に絡んでいます。「内部不正による情報漏洩」にはUSBメモリを利用した内部情報の不正持ち出しが、「テレワーク等のニューノーマルな働き方を狙った攻撃」には社用USBメモリを私有端末で用いることによる問題が、「不注意による情報漏洩等の被害」にはUSBメモリの紛失が含まれています。
参考:情報セキュリティ10大脅威2023 | IPA 独立行政法人 情報処理推進機構
大手情報通信会社の子会社のケース
2023年10月に、大手情報通信会社の子会社から約900万件の個人情報が流失した問題が発覚しました。子会社に派遣されていた派遣社員が約10年間にわたって個人情報をUSBメモリにダウンロードし、名簿業者に流失させたとされています。
その子会社はテレマーケティング業務を受託していたため、影響は業務をアウトソーシングしていた通販会社にもおよんでいます。
地方自治体のケース
2022年6月に、関西地方のある自治体で全市民の個人情報を保存したUSBメモリの紛失が発生しました。紛失したのは自治体の職員ではなく、業務を再々委託していた企業の従業員でした。
再々委託先の従業員は、臨時特別給付金に関わる業務を遂行するため住民基本台帳に記録された市民の個人情報をUSBメモリにコピーして無断で持ち出しました。その後、居酒屋で飲食したあと酩酊して路上で眠ってしまい、USBメモリを入れたバッグごと紛失したことに気づきました。
紛失から2日後にUSBメモリが見つかり、情報漏洩は未然に防げましたが、再発防止策を定め、同じ事故が二度と起きないようUSBメモリ使用の禁止を含むセキュリティ対策を徹底しています。
市立中学校のケース
2023年6月、ある市立中学校の教諭が生徒の個人情報が入ったUSBメモリを紛失しました。私物のUSBメモリに1万件以上の個人情報をコピーして自宅で教材研究をしようと持ち出した上で、紛失しています。USBメモリの発見にはいたっていませんが、今のところ悪用された報告はないようです。
USBメモリ紛失による情報漏洩対策
業務でUSBメモリを使用するのなら、セキュリティリスクを下げる適切な対策をしなくてはなりません。運用ルールの見直しやセキュリティ機能付きUSBメモリの使用が対策として有効です。
1. 運用ルールを見直す
そもそも運用ルールがないのなら、ルールの策定から始める必要がありますを策定します。運用ルールがなければ、い状態では、USBメモリへのデータのコピー移行や社外への持ち出しなどリスクの高い行為を制限できません。
場合によっては、USBメモリの使用を禁止することも選択肢の一つになります。USBメモリに頼らずともデータの保存や共有をする方法はあります。代替手段として、より便利でセキュリティに強いクラウドストレージやBoxのようなコンテンツクラウドを利用する企業が増えています。適切な運用ルールの策定により、USBメモリの紛失や内部不正による持ち出しに対する効果的な対策ができます。この機会に運用ルールの見直しや代替手段の検討をしてみましょう。
2. セキュリティ機能付きのUSBメモリを使用する
セキュリティキー機能付きのUSBメモリなら、が情報漏洩対策には有効です。データが暗号化され、データの閲覧にはパスワードが必要なため、紛失や盗難による情報漏洩のリスクを低減できます。
ただし注意すべき点があります。セキュリティ機能を備えたUSBメモリは紛失や盗難対策としては威力を発揮するものの、内部不正による持ち出しは防げません。たとえば、パスワードを知っている社員が、セキュリティ機能付きUSBメモリを外部へ持ち出し、ロックを解除して格納された機密情報を流出させるといったケースではには対処できません。
USBメモリでマルウェアに感染する仕組み
USBメモリからどのようにマルウェアへ感染するのか、仕組みを理解すれば適切に対処できます。感染する仕組みやタイミングを把握しておきましょう。
USBメモリでウイルスに感染する仕組み
オフィス近辺に落ちていたUSBメモリを拾い、中身を確認するためパソコンに挿入したらマルウェアに感染したというケースが代表的です。
USBメモリ経由でのマルウェア感染に関する興味深い調査が2つあります。
ひとつ目は英セキュリティ会社のSophos(https://www.sophos.com/ja-jp.aspx)がブログに発表した調査結果です。同社によると、電車内に放置されていたUSBメモリの約67%がマルウェアに感染していたとのことです。
もうひとつの調査は非営利団体CompTIA(https://www.comptia.jp/)が行ったもので、公共の場所に放置した200個のUSBメモリのうち5個に1個が誰かに拾われ、取得した人の多くがUSBメモリを端末に挿入してテキストファイルを閲覧し、内容を把握しないままリンクをクリックしたと報告しています。
サイバー犯罪者は、マルウェアを組み込んだ仕込んだUSBメモリをビジネスパーソンが集まりやすい公共の場所やオフィス近辺にそれとなく置くことでサイバー攻撃を仕掛けます。拾ったUSBメモリの中身をつい確かめてみたくなるという人の心理をついた手法です。
ウイルスに感染するタイミング
USBメモリをパソコンに挿入した際に自動実行されるautorun.infファイルが、マルウェア本体の実行ファイルを自動起動します。マルウェアは、パソコンがUSBメモリを認識した瞬間に感染します。マルウェアは社内ネットワークへ侵入し、重要なシステムに感染することもあります。USBメモリに仕込まれたマルウェアがランサムウェアの場合、システムがロックされ、暗号解除のために身代金を要求されることにもなりかねません。
USBメモリ経由でのマルウェア感染対策
まずは従業員全員がセキュリティ意識を高め、少しでもリスクのある行動を控えることが大切です。適切な運用ルールを定めるほか、リスクを減らすパソコンの設定といった物理的な対策にも着手しましょう。
今すぐできることは、USBメモリが挿入された際にautorun.infファイルが自動的に実行されないようパソコンの設定を変更することです。万が一USBメモリが挿入されてもを挿入しても、autorun.infファイル実行前に確認のためのポップアップが開くので、マルウェアの自動実行を防ぐことができます。ただし、従業員がファイルを実行してしまえばマルウェアに感染してしまうので、感染を完全に防ぐことはできません。
その一方でサイバー攻撃もが年々高度化していることをは理解する必要があります。USBメモリ内に保存されているファイルが業務関連のものに偽装されているケースも増えています。
まとめ
USBメモリは便利な反面、情報漏洩リスクを高める懸念があることを理解しておきましょう。情報漏洩が発生すると、企業としての信用を失い、事業の継続が難しくなるかもしれません。そのような事態に陥らぬよう、運用ルールの見直しやセキュリティ機能付きUSBメモリの導入などの適切な対策を進めましょう。
サイバー攻撃が増加しマルウェアも巧妙化する現在において情報漏洩リスクを減らすには、USBメモリの使用を禁止し、代替手段としてクラウドストレージやBoxのようなコンテンツクラウドを導入するのが対策として有効です。クラウドストレージなら、機密情報をクラウド上で管理でき、USBメモリで持ち運ぶ必要もありません。適切にアクセス権限を付与することで内部不正による情報漏洩も回避できます。さらに、業務効率化やリモートワークの推進にも有効なので、この機会に検討してみてはいかがでしょうか。
