個人スマホ利用への企業の注意喚起

ブログや掲示板、ソーシャルメディアを起点とする炎上やトラブルへの対応について事例から学びます。

イラスト／たむらかずみ

個人スマホ利用への企業の注意喚起
個人スマホの利用でトラブルが相次いでいる。その手口が巧妙化していることから、所属組織としても注意喚起が求められるタイミングと言ってよさそうだ。

この夏、スマホを取り巻くトラブルが多く見られた。iPhoneで大規模なウイルス感染が発覚したり、Facebookユーザーの電話番号を含む情報が4億人規模で流出したり、通信会社や宅配事業者などが相次いでSMSなどでの偽装メッセージに関する注意情報を出したりといった具合だ。

偽装されるSMSメッセージ

多くの人がセキュリティを高める目的で、二段階認証などに携帯電話番号の登録をしている。本人確認のためのパスワードがSMSメッセージで届けられたりする形だ。電話番号があればSMSメッセージが送れるし、その番号で紐づけられた各種アカウントのパスワードを強制リセットできる。その電話番号が流出しているのだ。

そして最近問題になっているのは、日頃やりとりをしている通信会社や宅配事業者から送られてくるSMSメッセージの、まさにそのスレッドの中に、偽装メッセージを紛れ込ませることが簡単にできるということだ。

配達の手配や利用料金の確認だと思って届いたSMSメッセージのリンクに飛ぶと、個人情報を入力させたりウイルスに感染させたりするサイトが待っている。これまでやりとりしてきた流れで表示されれば、疑いなく反応する人も少なくないだろう。ウイルス感染でスマホが勝手に情報を発信し始めるとどうなるか。メールはもちろん、位置情報など、組織や仕事内容を特定するデータも流出する可能性がある。

この夏、情報処理推進機構（IPA）が発表した最新の「情報セキュリティ10大脅威2019」によると、組織リスクの1位は「標的型攻撃による被害」だという。ネット上に出回る情報をもとに企業が狙い撃ちされるのが標的型攻撃だ。そして多くの個人スマホには、その攻撃に必要な情報が詰まっている。

生活パターン監視の可能性

ある日、アマゾンのマークが付いた封筒が届く。開けてみると「日頃の利用を感謝します」といった感謝メッセージだけが入っている。不思議に思ってそれをTwitterで投稿する。それによって住所・氏名とTwitterアカウントが紐づけられる。そんなことをまったく意識せず、旅行に行くなどとツイートしたとき空き巣に入られる。そんな情報がネット上を駆け巡っている。

ネットショップを使った際などに登録した住所・氏名の情報が、悪用されているという話である。どこまでが本当かは分からない。しかし、住所と生活パターンが組み合わせて特定できれば、狙いやすくなるのは明らかだ。

昨今、個人所有のスマホであっても仕事にも使っているという人が少なくない。これまで企業は炎上を防ぐため、個人のSNS利用についてガイドラインなどを制定し啓発を行ってきたが、ネットサービスの利用に関してはノータッチというところも多い。組織としては最新リスクを踏まえ、日常のスマホ利用で、どれだけ多くの個人情報を自身が発信しているかの確認を促すことから始めたい。

Tweet