ザツログ

雑学、幕末、80年代、ブログカスタマイズ、ITトラブルシューティングなど。

MENU

『ベネッセ』の顧客データをスマートフォンにコピーできた理由とは

f:id:maekeeeeen:20140830153312j:plain

現在、小学2年の長男は『こどもちゃれんじBaby』の頃から受講していました。
受講費用支払い者である僕と長男の情報は当然のように流出し、先月お詫び文書が届きました。
※後日、補償に関するお詫び通知が届きました。

 

システムで防げなかったのか

f:id:maekeeeeen:20140830160450j:plain

いわゆる、エンドポイントセキュリティ呼ばれる、パソコンに対してのセキュリティ保護、外部デバイス(USBマスストレージなど)接続の制限、つまり、使用者にいらん事をさせない製品はわりと普及しており、大企業のみならず中小企業にも結構導入されています。

今回、容疑者が使用しているパソコンに私物のスマートフォンを接続し、情報をコピーして漏洩したとの事ですが、ベネッセはこれらのシステムを導入していなかったのでしょうか?

 

なぜパソコンにスマートフォンを接続できたのか

f:id:maekeeeeen:20140830162207j:plain

では、エンドポイントセキュリティを導入しているにも関わらず、なぜ、容疑者のパソコンはスマートフォンを接続/認識できてしまったのでしょうか?

容疑者がパソコンのセキュリティを解除した、との推測もたちますが、エンドポイントセキュリティはサーバー側で一括管理しますので、使用者側で設定を変更できないうになっています。

原因ですが、MTP接続を制限できていなかったのでは、という意見が主流になっています。

 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレー ヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。

出典:ニュース - ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を:ITpro

 

エンドポイントセキュリティを導入していて防げなかった原因として以下3点が考えられます。

 

1.MTP接続を制限する機能があったが設定し忘れていた

2.MTP接続を制限する機能があり、設定していたが何らかの仕様制限(バグ)でMTP接続できてしまった

3.MTP接続を制限する機能がなかった

 このMTPの存在は、情報漏洩対策の盲点になり得る。デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマート フォン経由で簡単にPCからデータを持ち出せてしまう。例えばAndroid端末の場合、機能としては2011年9月に公開されたバージョン3.1、本格 的には2011年10月公開のバージョン4.0から、MTPによるファイル転送に対応している。  

出典:ニュース - ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を:ITpro

実際はどのような原因だったのでしょうか。
気になるところです。

※後日、Windowsの標準機能でスマートフォン接続を遮断させる事が可能だという事がわかりました。