パスワードを忘れた? アカウント作成
11364389 story
情報漏洩

USB接続したスマホ経由での情報流出に注意を 39

ストーリー by hylom
盲点 部門より
あるAnonymous Coward 曰く、

近年では企業の情報統制が厳しくなっており、PCのUSBインターフェイス使用に制限が加えられていることも少なくない。しかし、USB接続のストレージが利用できないように設定されていても、スマートフォンをUSB接続した場合はファイルのやり取りができてしまう、という場合があるという(日経ITpro)。

PCにスマートフォンを接続した場合、PCはスマートフォンをUSB接続のストレージ(USBマスストレージ)ではなく、「Windows Portable Devices(WPD)」として認識される場合があり、この場合はUSBマスストレージの使用を制限していてもデータのやり取りが可能になってしまうという。先日のベネッセからの顧客情報流出事件では、これを利用してデータが外部に持ち出されたと報じられている。

なお、最近のセキュリティツールではWPDに対する制限も可能になっているとのこと。また、Active Directoryのグループポリシ設定でもアクセス制限は可能だという。セキュリティ担当者の方はご注意を。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年07月30日 14時55分 (#2648199)

    USBに何かつないだ時点でPCから大音量を発し、何をつなごうとも始末書を書かせるようになっていた。
    端末も全部シンクライアントだから無線関連のアダプタは一切無いし、CD等のメディア類も使えない。
    出社帰社時には警備員にカバンの中身をチェックされ、自宅の私用PCにもP2Pソフト等を検知するツールのインストールを義務付けられたところでも
    情報漏えい事故あったし、どんなに厳しく取り締まっても無くすことは不可能だと思う。
    ベネッセの件でも犯人は顧客のDBにアクセスできるという強力な権限を持っているにも関わらず月30万ちょい程度の給与だった。
    たかだか数十万数百万でバレたら捕まるようなことをする気になってしまう多重派遣の仕組みやエンジニアの低評価を是正するほうが先ではなかろうか。
    ベネッセの件でエンジニアの給与月30万ちょいなんて聞いた若者はまずITエンジニアにはなりたくなくなるだろうから、エンジニアの減少に繋がるのでは
    ないかと少し不安だ

    • by nim (10479) on 2014年07月30日 16時52分 (#2648274)

      マ、マウスとキーボードは?

      親コメント
      • by Anonymous Coward

        もちろんPS/2です!(違

    • by Anonymous Coward
      待遇改善で防犯効果が得られると思うのは全くの幻想でしょ。
      高い給料貰ってるエンジニアだって研究成果をひっさげて競合社に転職するんだし。
      • by kcg (26566) on 2014年07月30日 18時25分 (#2648336) ホームページ 日記

        でも待遇改善の交渉材料にはなるんじゃないですかね。
        交通機関なんかは、ストライキで多くの人に迷惑をかけてやるぞっていう部分が交渉材料として効いているのでしょうし、
        給料上げないと個人情報流出させちゃうぞ、っていうのも口では言わなくとも今後ますます暗黙の材料になるんじゃないですかね。

        親コメント
      • by Anonymous Coward on 2014年07月30日 15時19分 (#2648225)

        それって、待遇改善されるから転職してんじゃないの?

        親コメント
      • by Anonymous Coward

        銀行の場合は着服を防ぐために良い待遇にしてるそうです

        • by Anonymous Coward

          情報=タダという認識だから。

      • by Anonymous Coward

        割れ窓理論というのがありまして、サービス残業とかモラルハザードが常態化した労働環境ではモラルが低下し「ばれても捕まらない」「みんなやっている」「自分だけじゃない」という心理が働くと思います。

        • by Anonymous Coward
          待遇の善し悪しと職場のモラルの善し悪しはリンクしているのですか?
          無給のボランティアに依存したところは悪の巣窟にもなりかねませんね。
          • by Anonymous Coward
            「雇用側がルールを守らない労働環境では労働者もルールを守らない」という話では?

            そもそも無給のボランティアの現場=待遇が悪い=労働環境が悪い、としてるのはどういうロジックなんでしょうか?
      • by Anonymous Coward

        あんたは今の給与のままで目の前にある千円の価値のものをバレたら捕まるとわかっていてもパクるの?
        もし月100万もらったとしても目先の1万円で犯罪を犯すのか?
        いくらもらおうともお金のために犯罪を犯すなら相当心根腐ってるね

        • by Anonymous Coward
          ん?
          金のために犯罪とかあるわけないじゃん。
        • by Anonymous Coward

          君が言うとおり、相当心根腐ってる人ならいくらもらおうとも犯罪を犯すのであり、
          今の給与のままで目の前にある千円の価値のものをバレたら捕まるとわかっていてもパクるし、
          もし月100万もらったとしても目先の1万円で犯罪を犯すので、
          待遇改善で情報流出が防げると思うのは全くの幻想だね

          • by Anonymous Coward
            あなた自身が仮定している「相当心根腐ってる人なら」に全乗っかりするロジックを組むのであれば
            情報流出はすべて相当心根腐ってる人しか行わないということになるが実際はそうじゃないよね。
            • by Anonymous Coward

              #2648246と#2648256はどちらも十分な待遇を受けているケースについて述べている。
              逆に言えば、どちらも「待遇が不十分なら、情報流出させる人がいる」ということには異論はない。

              もし俺が「待遇が不十分でも、情報流出は行わない」と主張するなら、俺の主張は「情報流出はすべて相当心根腐ってる人しか行わない」となり、
              他の理由で情報流出に手を染めるひともいることから俺は間違っていることになるが、
              俺は「待遇が不十分でも、情報流出は行わない」などとは言っていないし、他の誰も言っていない。

              「相手の主張を捏造し、その矛盾を指摘して反論したつもりになる」という、典型的な詭弁だね

              • by Anonymous Coward

                「待遇改善で防犯効果が得られるか」が本題じゃなかったのか?
                つまり待遇は十分でなく改善の余地がある、というのが前提だよ

                で、あなたも認める「待遇が不十分なら情報流出させる人」に対しては、待遇改善は防犯効果がある

              • by Anonymous Coward

                待遇が不十分な人のうち、1割に「心根の腐った人」が含まれるとしよう。
                待遇を改善すれば9割の人の犯行は防げるが、残りの1割の犯行は防げない。

                これが本屋で中学生が万引きするというケースだったら、万引き犯のうち9割を減らせれば被害額はだいたい9割減になる。
                被害が9割減になれば大いに防犯効果はあるといえるだろう。でも情報流出という犯罪はそうはいかない。
                たった一人でも犯行に及べば莫大な損失が出る。その一回の犯行を防げなければ、防犯効果があるとは言いがたいな。

                しかも、待遇は改善すれば改善するほど犯行は起きにくくはなるだろうけど、結局はコストとのトレードオフになる。
                ベネッセの事件では犯人に借金があった。いかなる額の借金があろうとも即座に返せるような好待遇、というのは無理がある。

    • by Anonymous Coward

      おそらく最近の若者は、月給30万は「高待遇」という印象を持つと思いますよ

      • by nim (10479) on 2014年07月30日 16時35分 (#2648267)

        月給30万USDなら……
        いや、年俸30万USDでも……

        親コメント
      • by Anonymous Coward
        そりゃ自分の給与に対して高いかどうかって観点しか持てない馬鹿者であればそういう印象かもしれないけど
        就活時に企業研究したりして企業規模や業務内容まで考えられる若者であればそういう印象をもたないと思いますよ。
    • by Anonymous Coward

      >自宅の私用PCにもP2Pソフト等を検知するツールのインストールを義務付けられたところ
      一度そういうところにぶち当たりましたが、自宅に対しての義務付けって雇用契約の範囲を超えてると感じました。
      面と向かって講義する人も居なかったので、Linuxしか使ってませんと嘘をついて避けました。
      できれば嘘は付きたくありませんが、変なソフト(大手会社制でしたが)を入れさせられるのは嫌です。

      法律的な問題に引っかからないのでしょうか。

      • by Anonymous Coward

        Linuxしか使ってませんと嘘をついて避けました。

        私の場合は嘘でも何でもなかったのですが、「Linuxを使ってる」って言っただけで「Linuxって何?」から説明させられて大変でした(今でこそ「AndroidのベースになっているOSです」で通りますが..)。

        結局「何をどうやってもいいから動かせ」ということになり、当時のwineで何とか動かしてログを提出しました(もはや何のために動かしているのかすら不明ですが)。

        お陰であの手のソフトの表には決して出せない裏の挙動などがよくわかって、いろいろ勉強になりました。

        • by Anonymous Coward

          「Linuxって何?」ってひどいな。
          win95デビュー頃じゃあるまいし。。

    • by Anonymous Coward

      どれだけ好待遇であったとしても、どれだけ恵まれてたとしても、慣れちゃうのが人ですからね。
      給与だの待遇だの関係なく、やる人はやるとしか言えないと思います。
      好待遇のはずの公務員でも、談合の見返りなど目先の数十万のために、生涯の数千万をフイにしてしまうわけですし。

      • by Anonymous Coward
        給与だの待遇だの関係なくやる人

        給与に対してそこそこの大金が得られるからとやる人
        は別に対立するわけじゃなくて両方いるってだけだよね。
    • by Anonymous Coward

      >>犯人は顧客のDBにアクセスできるという強力な権限を持っているにも関わらず

      それは、本来意図された権限ではなかったのでは?

  • by Anonymous Coward on 2014年07月30日 14時18分 (#2648176)

    Bluetoothアダプタとか有線LANとか無線LANアダプタとかいろいろあるんじゃないのか

    • by 90 (35300) on 2014年07月30日 14時57分 (#2648203) 日記

      USBメモリが使えない職場向けにUSB HIDで読み書きできるUSBメモリ的なものを作ったらみんな買ってくれるかな

      親コメント
      • Re:他にも (スコア:3, 参考になる)

        by Ryo.F (3896) on 2014年07月30日 15時21分 (#2648228) 日記

        USBメモリ(って言うかリムーバブルメモリ)だけを対策するのって、一般的なのかね?

        弊社では、書込操作が可能なデバイスは、全部ダメに設定してあるみたい。
        ホワイトリストに載っているものは例外。
        USBシリアルケーブルがダメだったしね。

        親コメント
    • by shesee (27226) on 2014年07月30日 14時57分 (#2648204) 日記
      新規ドライバの導入はポリシーで抑制できるので、標準クラスドライバで動く範囲でしょう。 といってもUSBクライアントブロックを持ったワンチップマイコン使えば、COMとかHIDデバイスを自由に装えるので完全な抑制は困難だよな。
      親コメント
    • by Anonymous Coward

      eメールに添付して社外へ送信するとか、クラウドストレージサービスを使うとか、
      プリントアウトして紙を持ちかえるとか、色々考えられるよね。

      新技術もどんどん登場するだろうし、端末側で食い止めるのは難しいんじゃないかな。
      「ないよりマシ」程度。

      サーバ側で、複数情報に頻繁なアクセスがあったらアラートを上げたりして、
      最終的に目視チェックするしかなさそう。

      • by Ryo.F (3896) on 2014年07月30日 15時10分 (#2648214) 日記

        新技術もどんどん登場するだろうし、端末側で食い止めるのは難しいんじゃないかな。
        「ないよりマシ」程度。

        かと言って、端末側での対策をしなくていい、って事にもならないね。
        セキュリティなんてのは大抵の場合、「無いよりマシ」を積み重ねていくものじゃないかな。

        サーバ側で、複数情報に頻繁なアクセスがあったらアラートを上げたりして、
        最終的に目視チェックするしかなさそう。

        それも完全じゃないだろ?

        親コメント
      • by Anonymous Coward

        メールも印刷もすべてアーカイブできるから追跡は楽。
        USBなんかは、だれの持ち物なのか追跡が難しくなるから、禁止。
        メール添付でやってくれって方針にしたのは俺だけど。

        要は、どっちにしろ防ぐことはできないから、
        漏れた場合の責任の追及ができる仕組みにしておくことだよ。

    • by Anonymous Coward

      新沼謙治の立ち入りも制限されるのだろうか・・・

  • by Anonymous Coward on 2014年07月30日 15時57分 (#2648251)

    もう物理的にポートが無い方がありがたいです。
    マウスとキーボード?D-sub9ピンでいいですよ。

    • by Anonymous Coward

      D-sub9ピンこそデータ通信用のportじゃないの?

      # 速度が遅いって話はあるだろうけど。

    • by Anonymous Coward

      昔のキーボードはそれだったような。。。(私、若いからよくわかりません

typodupeerror

人生unstable -- あるハッカー

読み込み中...