企業が行うべきリスクヘッジ【第4回　盗聴・盗撮から企業を守るためのリスクヘッジ】

1．進化する盗聴手法
2．盗聴や盗撮の被害
3．企業が行うべき対策

企業の盗聴や盗撮というと、007（ジェームス・ボンド）や産業スパイのような印象があるかも知れません。しかしながら、現実には企業の重要会議や打ち合わせ内容等の機密情報が盗聴や盗撮により漏えいし、マスコミ等に流れてしまうことも少なくありません。マスコミによって報道されることで、社会的信用の失墜や社会問題などへの発展も見受けられます。

また、現代では一般人により実行され、詐欺や情報の売買などに悪用されるケースも増加しています。これらは関係者による犯行も多く、何気ないコミュニケーションから情報が漏れてしまう危険性も考慮せざるを得ません。また、急速な機器の高性能化とITの進化により、実行方法も高度なものとなり、対策も容易ではありません。
今回は、このような盗聴や盗撮の手法や対策についてお話したいと思います。

1. 進化する盗聴手法

① 盗聴や盗撮機器の高性能化

盗聴や盗撮に用いられる機器は、小型化と高性能化が進み、見つけることが非常に困難になっています。電源タップやハンガーなどのオフィス備品に内蔵されるもの、ネクタイピンやボールペン、時計などの身につけるものに内蔵されているものが有名です。

最新のものでは、リモコンで盗聴器の電源のon・offを操作でき、盗聴時以外はoffにすることで探知されないようにするものや、周波数が短時間に切り替わり、専用の受信機以外では発見できなくなっているものもあり、探知を避ける機能も進化しています。これらはステルス盗聴器と呼ばれ、他にも微弱電波を使用することにより発見を防ぐものなどもあります。 更に、WiFiの普及などによる通信速度の向上や圧縮技術の進化、通信量やデータ保存量の増加など、インフラ面も急速な勢いで発展したことで、これらの機器の活用域も増えたと言えます。

日々進化している盗聴器や盗撮器を排除するためには、探知するための専門機器だけでなく、知識や経験がないと探し出すのが難しいのが現状です。また、こういった機器の設置には、内部に侵入する必要があることからも、そのほとんどは従業員や取引先などの関係者が行っていることが多く、そういったことからも発覚が難しくなっています。

② スマホアプリによる情報搾取

スマートフォンの進化は凄まじく、今では音声や画像を含めた情報が大量に保存されていることが当たり前の機器となっており、それゆえ標的にもされやすく、不正なスマホアプリを利用した情報搾取は増加し続けています。某IT企業の調査によれば、不正アプリはすでに100万を超えていると報告されています。

・海外赴任した会社員の事例

グーグルの公式サイトから翻訳のために辞書アプリを導入し、後日、アプリの更新を行ったところ、社外秘である取引先への見積書や開発中の製品写真などが外部に漏えいしてしまいました。

この事例では、公式サイトの審査を通過するアプリを一旦開発した後、機能追加等でアプリを更新する際に不正機能を潜り込ませるという手法を使ったもので、グーグルが不正アプリに気づいて排除するまでの時間を利用した巧妙な手口と言えます。アップルやグーグルは公式ストアから、こうした不正アプリの排除を徹底して行っています。しかし、不正アプリ開発者は抜け道を探して利用してくるのです。

③ フィッシング詐欺による情報搾取

大手ECサイトや宅配会社、公的機関などを装い、本物そっくりの偽メールを送り、IDやパスワードを盗みとるフィッシング詐欺は有名ですが、その中でもスマホを狙ってSMS（ショートメッセージサービス）を利用したフィッシング詐欺は、スミッシングと呼ばれており、被害が増加しています。（スミッシングはSMSとフィッシングを掛け合わせた造語です。）

有名企業や公的機関を名乗るSMSなので、警戒せずに反応してしまい、情報搾取や、不正アプリの導入に誘導されてしまうという被害が出ています。

2. 盗聴や盗撮による被害

近年、ビジネスメール詐欺の被害が増加しています。BEC（Business Email Compromise）と呼ばれ、企業間取引の内容を盗聴、盗撮や情報搾取により盗み、企業間の現在のやりとりに即した内容でメールを送り相手を騙すものです。 具体的には、取引先になりすまし、請求書の差し替えや、振込口座の差し替えをメールで連絡する手口や、経営者や幹部になりすまし、経理担当者に送金指示のメールを送る手口などがあり、メール版の振り込め詐欺ともいわれています。

このようなBECによる被害は世界各国で発生しており、アメリカでの被害金額は4,000億円を超え、サイバー被害の3分の1以上を占めるに至っています。国内大手航空会社でも2018年に英語と日本語のBEC合わせて4億円近い被害を出しており、2019年に国内貿易団体が行った調査によれば、調査した国内企業6社だけで約24億円の被害があったことが明らかになりました。

具体的な内容に即したやり取りを行うことで、疑念を持たせることなく騙すことから、人の脆弱性をついた詐欺とも言われています。企業秘密などのセキュリティが固い情報でなくとも、タイムリーな企業情報を取得するだけで、このように大きな金額を搾取できることからも、盗聴や盗撮、データ搾取により取得した情報を悪用する手法は今後も増加する傾向にあると考えられます。

3. 企業が行うべき対策

① 機器による盗聴や盗撮への対策

定期的な社内の巡回や備品管理、清掃などの基本的なことを行うことが大切です。また、見慣れない物を見つけたり、告知していない情報が出回っていたり、不信な業者の出入りがあったりした場合など、懸念点がある時は、社内担当部署に相談し、速やかに善後策を講じるなど被害が生じないようにすることが必要です。
また、万一、一つでも機器を発見した場合、機器は複数設置されている可能性も高いため、発見した機器をそのままにして、速やかに調査会社に調査を依頼することが大切です。

② 不正アプリ対策

業務上で使用するために会社から支給したスマートフォンは、導入するアプリを管理する必要があります。指定したアプリ以外の導入の制限や、不審なアプリの削除を行えることなどが求められます。一方で、社員の私物のスマートフォンを業務にも使用している場合（BYOD）は、危険とされるアプリの情報を周知し、対象アプリをインストールしないように指導するとともに、もしインストールしていた場合は削除と共に、その事実を報告してもらうことも必要です。
また、従業員が不用意にアプリを導入しない教育や、問題が発生した際の対応のルール化や窓口設置などの組織体制を構築しておくことも大切です。

③ ビジネスメール詐欺、フィッシング詐欺の対策

請求や支払いをメールで行わないことも一つの対策です。また、振込先変更の際のルールを設定しておくなど、取引先との商習慣に合わせたルールの制定も効果的です。
また、ビジネスメールのルール、不信メール発見時の報告経路など、基本的なセキュリティ教育に加え、BEC対策など、現在必要なセキュリティ対策の内容を更新して教育を行うことが大切です。そのためにも新たな不正手法が日々生まれることに対して、定期的にルールの更新を行える組織体制が重要となります。

④ 発生した場合の対策

BEC発覚時は、何らかの情報漏えいがあったと考えられるため、盗聴、盗撮の調査やアプリの調査など、漏えい元の特定を速やかに行う必要がありますが、このような問題発生時や不信な点を発見した場合の対処について、ルール化、窓口設置や対応部署設置などの組織体制構築、定期的な従業員教育、といった組織的なリスク対策を行うことで、発生リスクの軽減に加え、発生時の早期発見、早期対応による被害最小化などにも繋がります。