IT管理者向けの文章です。攻撃を煽る意図はございません。長文ですが最後までお付き合いください。
攻撃方法がわからないのにセキュリティ対策なんでできるわけない。
世間で騒がれているハッキング集団が不正アクセスしてなんちゃら、データベースがなんちゃら~、なんてたしかに中小企業や学校教育機関じゃ対岸の火事に見えるかもしれない。
確かに個人情報リストなんていまの時代単価が安く、攻撃側にとってはなんの面白味がなく大した報酬は得られない。
しかし、金銭や報酬目的ではない人間は大小関係なしに攻撃をする。しかも目的は単純。
・社内の他人のファイルを見てみたい
・極秘プロジェクトの情報を見てみたい
・教師しか見られない情報を見てみたい
隠されると見たくなる心理によって、誰でも攻撃者に成りうる。そして極めつけは
・やってみたかっただけ
ネットで攻撃方法を知り、会社で学校で試してみたい。
いまこの記事を見ている方のなかにもいらっしゃるかもしれません。
こういう攻撃者が逮捕された際に受ける中小企業や学校教育機関の印象は「管理が杜撰」です。
その杜撰な印象がつくことのないよう、これから私が考える攻撃と対策を紹介していきます。
煽るような文章になったことをここでお詫び致します。
あくまでIT管理者向けの説明です。
1.パスワードを付箋に
付箋紙にログイン対象のサービス名と組み合わせてIDとPASSを貼り付けている方。わかります、忘れちゃうので貼ってあるんですよね。
攻撃者にとってご褒美です。
自宅の表札に鍵をぶら下げて「どうぞご自由にお入りください」状態です。絶対にやめてください。
どうしても貼りたい方は、
・文字を逆から記入する
・ローマ字ではなく漢字や平仮名で記入する
・キーボードの裏に貼る
・複数の付箋に文字を散りばめる
などを組み合わせると、1mmぐらいはセキュリティの向上になります。が、基本的にお止めください。
2.パスワード一覧を紙媒体で保管
学校であるかもしれません。生徒がパスワードを忘れて入れない。わたしもおれも入れない。
そんなときにあると便利な一覧表。すぐに教えることができます。
ただ教えるとき、生徒のいる前で見せないでください。
スマートフォンは便利なものです。写真や動画撮影しながら背後から一覧表狙っているかもしれません。
もちろん、保管時に鍵のかからない教師卓の引き出しになんてもってのほかです。もしくは引き出しに保管場所のキャビネットの鍵も同じです。
いまや一瞬レンズに映っただけで情報が盗まれます。
使用する際は
・背後に気を付ける
・机に放置しない
・施錠できる信頼できる場所に保管
などに注意した方がいいでしょう。
つづく
その2はまたいつか