本社ビルに勤務している総務の衣笠さんはトイレの洗面台にUSBメモリが置いているのを発見しました。このとき、衣笠さんはどう行動するのがいいでしょうか?正しいと思うのを選択してください。
ア | 誰かが置き忘れたと思われるので、自席にUSBメモリを持ち帰りパソコンに差し込み、USBのなかにあるドキュメントを確認する。 |
イ | どのような経緯でUSBメモリが洗面台に置かれているかが、分からないので、IT部門か上長に連絡して指示を仰ぐ。 |
ウ | もしかしたら、USBメモリにウイルスが格納されているかもしれないと思い、自席のパソコンにUSBメモリを差し込みウイルスチェックをする。 | エ | いずれ、置き忘れた人が取りにくることを考え、放置する。 |
答え:イ
会社のトイレでUSBメモリを見つけた場合、慎重に取り扱うべきです。それは、攻撃者がUSBメモリを悪用した罠を仕掛けている可能性があるからです。
ベイティング(釣り餌)というソーシャルエンジニアリングの手法があります。ソーシャルエンジニアリングとは、人間の心理的な隙や信頼を利用して、機密情報を不正に取得したり、システムに不正アクセスしたりする手法を指します。
ベイティングはUSBメモリなど、興味を引くものを社員の目につく場所にさりげなく置くことで、ターゲットを引き寄せます。ターゲットはそれを利用することで、マルウェアをシステムに感染させたり、情報を盗み取る手法です。
ですので、出所が不明な信頼できないUSBメモリをパソコンに差し込むのはNGです。
入手したUSBメモリのウイルスチェックをすることは、情報セキュリティ上は有効な対策です。ただ、これも注意が必要です。もし、自動実行機能があるプログラムが仕込まれたUSBメモリをパソコンに差し込むと、それだけでウイルスに感染する可能性があるからです。
放置するのは、必ずしも問題があるとは言えません。でも、それが業務上必要なUSBメモリだとしたら、放置することで第三者に持ち出され、情報が外部に流出する可能性があります。
会社内でUSBメモリを見つけた場合、すぐに会社のIT部門やセキュリティ部門に報告するのが最良の行動といえるでしょう。
会社内でUSBメモリを見つけた場合、IT部門に報告を行うようにしましょう。