2011/10/20連載「日常業務に潜むセキュリティの脅威」
第1回「身近で起こるソーシャルメディアのセキュリティ事故~Twitter・SNSから情報漏洩!?」
■Twitterからの情報漏洩!?今年2月、ある携帯電話キャリアについて「新機種のスマートフォンが発売される」という情報がTwitterに投稿され、インターネット上でニュースとなりました。おそらく、内部関係者からの情報リークであったろうと言われています。
この新機種を発売するかどうかは、携帯電話キャリアにとって未発表の秘密情報でした。情報リークは、携帯電話キャリアのマーケティング戦略にも影響したかもしれません。
このほかにも、Twitterでの企業の情報漏洩はいくつも起きています。
例えば……
・昨年9月、電子部品メーカーのPR担当を名乗るTwitterユーザーが、「HDCPのマスターキー」という特殊な文字列をTwitter上で公表しました。
「HDCP」とはDVDやブルーレイなどの著作権保護規格で、マスターキーを悪用されると、コピー防止機能を事実上無効にできるというものです。流出したマスターキーは、本物だったことが判明しています。
・今年1月、高級ホテルのレストランで、来店したスポーツ選手や芸能人のスキャンダル情報をアルバイト従業員がTwitterに書き込みました。
ホテル従業員による顧客プライバシーの漏洩として騒ぎとなり、Yahooニュースなどでも取り上げられたため、翌日にはホテル総支配人の謝罪文が公表されました。
・今年8月、大手菓子メーカーの人気商品について、未発表の新作パッケージ写真とCMに起用予定というアイドルの名前がTwitterに書き込まれて話題になりました。
書き込んだのは「父が会社でお菓子の担当してる」という女子高生で、菓子メーカーの取引先に勤める父親が試作品を持ち帰り家族に話したところ、娘が悪気なくTwitterに流出した模様です。
■とまらないインターネット上での不祥事企業イメージを傷つける事件としては、従業員がネット上で不適切な言動を行ったために騒ぎとなる事件も起きています。
今年5月、スポーツ用品メーカーに勤務する新入社員が、直営店に来店したプロサッカー選手とその妻に対する中傷をTwitterに書き込み、インターネット掲示板で批判の的となりました。
この社員はTwitterのほかにも、mixi、FacebookなどのSNSや、プロフィールサイト、Yahoo知恵袋など、あちこちに同じ名前で書き込みをしていたため、インターネット掲示板上でそれらの情報をつなぎ合わされ、本名や勤務店舗・出身大学などが特定されました。大学時代のゼミの自己紹介ページ(顔写真入り)までも暴露されています。
結果的に、このメーカーは同日のうちにホームページで謝罪。新入社員本人は、わずか2ヵ月で退職することとなりました。
http://www.adidas.com/jp/corporate/01company/0519.asp
(引用:アディダス ジャパンお詫びとご報告)
また今年7月、W杯女子サッカー優勝の「なでしこジャパン」の選手が参加した飲み会について、同席した学生がTwitterに書き込みました。同選手はチーム内のスキャンダル発言や、金メダルを「いらないからあげる」と発言したとも書き込まれ、インターネット上で批判が相次ぎました。選手は翌日、報道陣の前で謝罪しています。
この事件の恐ろしいところは、選手自身はTwitterに書き込んでいないことです。他人がTwitterに面白おかしく書き立てた結果、選手の軽はずみな言動が公開されてしまいました。http://www.excite.co.jp/News/net_clm/20110721/Rocketnews24_114621.html
(引用:Excite ニュース:なでしこ熊谷選手が飲み会での「監督批判疑惑」に対して謝罪 / 騒動を起こした学生はダンマリ)
TwitterやSNSにまつわる不祥事は、このほかにも数多く起きています。
・今年2月、性犯罪を擁護する発言をTwitterに書き込んだ大学生。mixiに就職内定先を書いていており、書き込みについて連絡されたため内定取り消しに。
・今年7月、東大生が飲酒運転の体験をTwitterに書き込んで非難を浴び、本人だけでなく友人・知人の個人情報までが晒しものにされた。
・今年8月、テレビ局職員が視聴者を馬鹿にする内容をTwitterに書き込み、非難を浴びた。本名・顔写真を掲示板に晒されたほか、Twitterの位置情報や、facebookに上げていた愛車の写真(ボンネットに建物が映っていた)から自宅まで特定された。
TwitterやSNSが広まる以前にも、「ブログ」やインターネット掲示板を通じて、企業の秘密情報が漏洩したり不祥事が暴露されたりする事件は、時々起きていました。
しかしTwitterやSNSは以下のような点で、既存のメディアとは違う怖さがあります。
・TwitterやSNSは、普段、自分の友人・知人とのやりとりが多いため、「自分の友人・知人向けに“ここだけの話”を書き込んでいる」と誤解しがちです。
しかし実際には、大部分の人が、自分の書き込みを全世界に公開する設定になっています。
・Twitterは他人の「ツイート」(書き込み)内容を検索できます。たとえば「飲酒運転」というキーワードを含むツイートを検索すると、Twitterで「飲酒運転」について書き込んだ人を簡単に見つけることができます。また他人の書き込みを、「リツイート」(再書き込み)機能で別の人に教えることもできるため、“くちコミ”のように連鎖式に多くの人に広まってしまいます。
・TwitterやSNSなどのサービスでは、ユーザー同士の交友関係を表現する機能があります(マイミク、フォローなどの機能)。このため、自分では完全に匿名のつもりで書き込んでいても、じつは、その人の交友関係を見ることで、勤務先や出身大学などを容易に推測可能です。
例えば、あなたが会社で部下・後輩の失敗を注意しているときに、別の従業員がイタズラ心でTwitterに書き込みをするかもしれません。「今日も会社でAさんがパワハラされてる。かわいそう」などと書き込まれたら、どうなるでしょうか?
たまたま「パワハラ」について検索した人が、その従業員の書き込みを見つけた場合、従業員のプロフィールや、過去の書き込み内容・交友関係などを見て勤務先を推測できる確率は高いでしょう。正義感にかられた誰かが、インターネット掲示板に「○○株式会社では、パワハラが日常的に行われている!」と謂われのない告発を書き込んでしまうかもしれないのです。
■どうすれば被害を避けられるのか?では、どうすればTwitterやSNSによって情報を漏洩したり、不祥事を引き起こすことを防げるでしょうか。
まず第一に、あなた自身が、自分の書き込みに気をつけることです。
インターネット上に一度でも書き込まれた情報は半永久的に残る上、第三者にも容易に閲覧・検索が可能です。また前述したとおり、匿名で書き込んでも、所属組織や交友関係などは容易に推測できます。さらに、所属組織のホームページや知人・友人の書き込みなどに、あなたの本名が書かれている可能性もあります。
「インターネットを匿名の世界だ」と考えて公序良俗に反する書き込みをすることは避け、普段の生活と同じく、責任ある行動や発言を心がけましょう。
第二に、あなたの同僚や部下・後輩は大丈夫でしょうか。
もしもあなた自身がTwitterやSNSを使っていなかったとしても、あなたの会社の従業員の中には必ず、これらを使っている人がいます。彼らに対しても、インターネットは匿名と考えるべきでないことを十分に伝えた上で、TwitterやSNSに軽はずみに社内の情報を書き込んだり、倫理的・社会的に不適切な発言をしたりしないよう、注意を呼びかけましょう。
社内規程や教育研修は、現状に合っていますか?
現在も多くの企業で、「インターネット掲示板に社内情報を書き込んではいけません」と入社研修で教えたり、社内規程で禁止したりしています。しかし、新しいメディアであるTwitterやSNSについても、十分にルールを定めているでしょうか?
Twitter・SNSのほかにも、ここ数年で企業のIT環境は大きく変わっています。たとえばクラウドサービス、スマートフォンなど新技術の企業導入の広まり、無線LANや大容量USBメモリの業務利用の一般化、ウェブ化によるシステム開発プロセスの変化などです。この機会に、社内規程や教育メニューの古くなった部分を、まとめて見直してみるのもよいかもしれません。
今回はTwitterやSNSなどでの気軽に起こしてしまう情報漏洩事故について取り上げました。
本記事では今後、日常業務で起きる身近なセキュリティ事故をとりあげて、最新の実態状況と対策をお伝えします。
- 執筆者 -
株式会社インフォセック
コンサルタント 田中洋
ITや情報セキュリティ・リスクについてのご相談は、株式会社インフォセックにお声がけください。
ITや情報セキュリティ・リスクに関する豊富な実績・ノウハウを活用し、最良のコンサルティング/ソリューションをご提供して、情報社会における安心・安全・安定した事業展開をサポートします。
http://www.infosec.co.jp/
<<「日常業務に潜むセキュリティの脅威」第2回>
[ コラムTop ]
