第34回
企業が行うべきリスクヘッジ【第4回 盗聴・盗撮から企業を守るためのリスクヘッジ】
株式会社TMR 執筆
1.進化する盗聴手法
2.盗聴や盗撮の被害
3.企業が行うべき対策
企業の盗聴や盗撮というと、007(ジェームス・ボンド)や産業スパイのような印象があるかも知れません。しかしながら、現実には企業の重要会議や打ち合わせ内容等の機密情報が盗聴や盗撮により漏えいし、マスコミ等に流れてしまうことも少なくありません。マスコミによって報道されることで、社会的信用の失墜や社会問題などへの発展も見受けられます。
また、現代では一般人により実行され、詐欺や情報の売買などに悪用されるケースも増加しています。これらは関係者による犯行も多く、何気ないコミュニケーションから情報が漏れてしまう危険性も考慮せざるを得ません。また、急速な機器の高性能化とITの進化により、実行方法も高度なものとなり、対策も容易ではありません。
今回は、このような盗聴や盗撮の手法や対策についてお話したいと思います。
1. 進化する盗聴手法
① 盗聴や盗撮機器の高性能化
盗聴や盗撮に用いられる機器は、小型化と高性能化が進み、見つけることが非常に困難になっています。電源タップやハンガーなどのオフィス備品に内蔵されるもの、ネクタイピンやボールペン、時計などの身につけるものに内蔵されているものが有名です。
最新のものでは、リモコンで盗聴器の電源のon・offを操作でき、盗聴時以外はoffにすることで探知されないようにするものや、周波数が短時間に切り替わり、専用の受信機以外では発見できなくなっているものもあり、探知を避ける機能も進化しています。これらはステルス盗聴器と呼ばれ、他にも微弱電波を使用することにより発見を防ぐものなどもあります。 更に、WiFiの普及などによる通信速度の向上や圧縮技術の進化、通信量やデータ保存量の増加など、インフラ面も急速な勢いで発展したことで、これらの機器の活用域も増えたと言えます。
日々進化している盗聴器や盗撮器を排除するためには、探知するための専門機器だけでなく、知識や経験がないと探し出すのが難しいのが現状です。また、こういった機器の設置には、内部に侵入する必要があることからも、そのほとんどは従業員や取引先などの関係者が行っていることが多く、そういったことからも発覚が難しくなっています。
② スマホアプリによる情報搾取
スマートフォンの進化は凄まじく、今では音声や画像を含めた情報が大量に保存されていることが当たり前の機器となっており、それゆえ標的にもされやすく、不正なスマホアプリを利用した情報搾取は増加し続けています。某IT企業の調査によれば、不正アプリはすでに100万を超えていると報告されています。
・海外赴任した会社員の事例
グーグルの公式サイトから翻訳のために辞書アプリを導入し、後日、アプリの更新を行ったところ、社外秘である取引先への見積書や開発中の製品写真などが外部に漏えいしてしまいました。
この事例では、公式サイトの審査を通過するアプリを一旦開発した後、機能追加等でアプリを更新する際に不正機能を潜り込ませるという手法を使ったもので、グーグルが不正アプリに気づいて排除するまでの時間を利用した巧妙な手口と言えます。アップルやグーグルは公式ストアから、こうした不正アプリの排除を徹底して行っています。しかし、不正アプリ開発者は抜け道を探して利用してくるのです。
③ フィッシング詐欺による情報搾取
大手ECサイトや宅配会社、公的機関などを装い、本物そっくりの偽メールを送り、IDやパスワードを盗みとるフィッシング詐欺は有名ですが、その中でもスマホを狙ってSMS(ショートメッセージサービス)を利用したフィッシング詐欺は、スミッシングと呼ばれており、被害が増加しています。(スミッシングはSMSとフィッシングを掛け合わせた造語です。)
有名企業や公的機関を名乗るSMSなので、警戒せずに反応してしまい、情報搾取や、不正アプリの導入に誘導されてしまうという被害が出ています。
2. 盗聴や盗撮による被害
近年、ビジネスメール詐欺の被害が増加しています。BEC(Business Email Compromise)と呼ばれ、企業間取引の内容を盗聴、盗撮や情報搾取により盗み、企業間の現在のやりとりに即した内容でメールを送り相手を騙すものです。 具体的には、取引先になりすまし、請求書の差し替えや、振込口座の差し替えをメールで連絡する手口や、経営者や幹部になりすまし、経理担当者に送金指示のメールを送る手口などがあり、メール版の振り込め詐欺ともいわれています。
このようなBECによる被害は世界各国で発生しており、アメリカでの被害金額は4,000億円を超え、サイバー被害の3分の1以上を占めるに至っています。国内大手航空会社でも2018年に英語と日本語のBEC合わせて4億円近い被害を出しており、2019年に国内貿易団体が行った調査によれば、調査した国内企業6社だけで約24億円の被害があったことが明らかになりました。
具体的な内容に即したやり取りを行うことで、疑念を持たせることなく騙すことから、人の脆弱性をついた詐欺とも言われています。企業秘密などのセキュリティが固い情報でなくとも、タイムリーな企業情報を取得するだけで、このように大きな金額を搾取できることからも、盗聴や盗撮、データ搾取により取得した情報を悪用する手法は今後も増加する傾向にあると考えられます。
3. 企業が行うべき対策
① 機器による盗聴や盗撮への対策
定期的な社内の巡回や備品管理、清掃などの基本的なことを行うことが大切です。また、見慣れない物を見つけたり、告知していない情報が出回っていたり、不信な業者の出入りがあったりした場合など、懸念点がある時は、社内担当部署に相談し、速やかに善後策を講じるなど被害が生じないようにすることが必要です。
また、万一、一つでも機器を発見した場合、機器は複数設置されている可能性も高いため、発見した機器をそのままにして、速やかに調査会社に調査を依頼することが大切です。
② 不正アプリ対策
業務上で使用するために会社から支給したスマートフォンは、導入するアプリを管理する必要があります。指定したアプリ以外の導入の制限や、不審なアプリの削除を行えることなどが求められます。一方で、社員の私物のスマートフォンを業務にも使用している場合(BYOD)は、危険とされるアプリの情報を周知し、対象アプリをインストールしないように指導するとともに、もしインストールしていた場合は削除と共に、その事実を報告してもらうことも必要です。
また、従業員が不用意にアプリを導入しない教育や、問題が発生した際の対応のルール化や窓口設置などの組織体制を構築しておくことも大切です。
③ ビジネスメール詐欺、フィッシング詐欺の対策
請求や支払いをメールで行わないことも一つの対策です。また、振込先変更の際のルールを設定しておくなど、取引先との商習慣に合わせたルールの制定も効果的です。
また、ビジネスメールのルール、不信メール発見時の報告経路など、基本的なセキュリティ教育に加え、BEC対策など、現在必要なセキュリティ対策の内容を更新して教育を行うことが大切です。そのためにも新たな不正手法が日々生まれることに対して、定期的にルールの更新を行える組織体制が重要となります。
④ 発生した場合の対策
BEC発覚時は、何らかの情報漏えいがあったと考えられるため、盗聴、盗撮の調査やアプリの調査など、漏えい元の特定を速やかに行う必要がありますが、このような問題発生時や不信な点を発見した場合の対処について、ルール化、窓口設置や対応部署設置などの組織体制構築、定期的な従業員教育、といった組織的なリスク対策を行うことで、発生リスクの軽減に加え、発生時の早期発見、早期対応による被害最小化などにも繋がります。
株式会社TMRでは、セキュリティ体制づくりに豊富な実績とノウハウを提供させていただいており、お客様と共にセキュリティ体制構築を行います。盗聴や盗撮調査の強力な専用機器を用いた調査も行っています。また従業員のリテラシーを向上させるセキュリティ研修も承っています。
※転載元 株式会社TMR お役立ち情報「企業が行うリスクヘッジ 第4回 盗聴・盗撮から企業を守るためのリスクヘッジ」
プロフィール
株式会社TMRはビジネスにおけるあらゆるリスク対応を支援し、企業価値の向上を全力でサポートします。
・信用を第一に「誠意」「正確」「迅速」をモットーにご納得いただくまで親身にご説明いたします。
・マスコミや弁護士事務所、警察関連組織などへの調査協力も行っており、法令遵守で調査情報の秘密厳守、社会正義に即した調査を行います。
・ISO27001認証を取得しており、調査後の調査資料の廃棄に至るまで厳格に管理しています。
取引先や社員、株主などを対象に「反社会的勢力」との関係をチェックします。情報収集と収集した情報の蓄積を行い、独自でデータベースを構築し、情報利用についても熟知しているため、安心してお任せいただけます。
■信用調査
企業の与信調査(不動産や資産など)から採用時の個人 調査、その他、長年のノウハウを活用したきめの細かい各種信用調査を行います。
与信調査・不動産・資産・債権保全・信用調査・採用 入居者審査・身元調査・市場調査・各種マーケティングリサーチ・テナント調査・身元調査・訴訟関連・債権関連など
ISMS認証のノウハウを活用した情報セキュリティ対策支援やネット風評対策、ハラスメント対策などの企業のリスク対策のほか、盗聴対策などの個人向けの対策を含め、あらゆるリスク対策について対応可能です。
企業リスク対策(情報セキュリティ、情報漏洩等)・ネット風評対策・ハラスメント対策・各種相談窓口開設(コールセンター、内部告発等)・その他 盗聴対策、各種セミナー開催など
Webサイト:株式会社TMR
- 第44回 雇用リスクとは?【第1回 安全配慮義務の対策】
- 第43回 経営者リスクとは?
- 第42回 海外取引のリスク【第2回 海外取引におけるリスクマネジメント】
- 第41回 海外取引のリスク【第1回 海外取引における信用調査の重要性】
- 第40回 営業秘密の保護
- 第39回 業務上横領にはどう対応すべきか
- 第38回 企業のBCP対策【第2回 BCP対策の手順】
- 第37回 企業のBCP対策【第1回 BCP対策の状況】
- 第36回 企業不祥事の要因【第2回 自動車開発の不正認証取得事例から見る改善ポイント】
- 第35回 企業不祥事の要因【第1回 自動車関連企業の不正】
- 第34回 企業が行うべきリスクヘッジ【第4回 盗聴・盗撮から企業を守るためのリスクヘッジ】
- 第33回 企業が行うべきリスクヘッジ【第3回 情報漏えいのリスクヘッジ】
- 第32回 企業が行うべきリスクヘッジ【第2回 リスクヘッジの取り組み方】
- 第31回 企業が行うべきリスクヘッジ【第1回 リスクヘッジ能力の高い人材の確保と育成】
- 第30回 職場の心理的安全性
- 第29回 注意義務となっている反社チェック
- 第28回 投資先、出資先とのトラブル未然防止と発生後の対処
- 第27回 企業が行うべき反社チェックとは
- 第26回 企業におけるハラスメント 【第4回 企業間で発生するカスタマーハラスメント(カスハラ)とその対応】
- 第25回 企業におけるハラスメント【第3回 カスタマーハラスメントへの対応】
- 第24回 企業におけるハラスメント【第2回 パワーハラスメントの分類と事例】
- 第23回 企業におけるハラスメント【第1回パワーハラスメントがもたらす企業リスク】
- 第22回 企業のリスクマネジメントとして行う素行調査の有効性
- 第21回 反社チェックのポイント(採用編)
- 第20回 採用リスクを回避するバックグラウンドチェック(経歴調査)とは
- 第19回 個人情報との向き合い方【第2回 情報が流出する原因とリスクマネジメント】
- 第18回 個人情報との向き合い方【第1回 個人情報の背景と現在】
- 第17回 外部専門会社を活用した前職調査や身元調査で明らかになるネガティブ情報とは
- 第16回 資金調達における反社会的勢力の規制への対応について
- 第15回 倒産リスクのシグナルを読み取る必要性とポイント
- 第14回 顧客満足度を向上させるための相談窓口の設置
- 第13回 信用取引において必要不可欠な与信管理とは
- 第12回 オンライン面接へシフトする採用市場における調査専門会社の活用
- 第11回 採用時にネガティブ情報をつきとめるバックグラウンドチェック
- 第10回 企業の社会的責任として求められる、組織全体で行う反社対策
- 第9回 自社の内部統制は本当に機能していますか? 【第3回 内部統制の効果的な運用】
- 第8回 自社の内部統制は本当に機能していますか? 【第2回 内部統制の体制づくり】
- 第7回 自社の内部統制は本当に機能していますか? 【第1回 内部統制とは?】
- 第6回 不良債権リスクの高まりでより必要不可欠となる与信管理
- 第5回 コロナ禍の資金調達難に付け入る反社や黒社会の融資や買収の危険性
- 第4回 アリバイ会社との取引が懸念される場合の企業調査対策とは
- 第3回 採用調査で重要性が増しているリファレンスチェック
- 第2回 ビジネス取引において実施される信用調査とは
- 第1回 貸し倒れリスクを回避するための債権回収の対策