USB紛失事案発生でやった事と教訓
職場でUSBがなくなりました。
「まだUSBなんて平成の遺物を使ってるの?信じらんない~」なんて思う方がいるかもしれません。
しかし使っている職場もあるのです。
そしてそれがなくなりました。
USBの使用状況と私
私有USBの使用は厳禁で社内用のみ使用できます。
そして何人かで1つの社内用USBを共有しています。社内クラウドがあるため共有で事足りるのです。
何人かで1つを使用しているので総数は少ないかと思われますがUSB以外にmicroSDもあり、それを含めると30個くらいになります。
保管庫がありそこに保管し管理者もいて毎日最後に確認しています。
それが私なのです。
事件発生
ある日の夕方、私はUSBの数を確認して帰りました。
チラッと見て「問題ないな」と思いました。
そして翌朝、同僚がいつも通りUSBを使用しました。
しかしこの時いつも使用しているUSBが無かったのです。
私がそれを聞いた時も「どうせ誰かが持っているのだろう」と思いましたがありません。
しかし誰も持っていないし、パソコンに挿しっぱなしでもないし、そこら辺に置いてあるわけでもありません。
これはまずいことになりました。
やったこと
誰が怪しいのか調査
聞き取り
関係した人に聞き取りました。
誰がいつまで持っていたのか、その信頼性(他の目撃者など)を評価してどの時間帯に無くなったのか、その時間帯に使用できたのは誰かを明らかにしていきました。
最終的に何名か浮き上がってきました。
しかし誰もが返したと言い「紛失」と断定できません。
紛失?盗難?
どちらかによって捜索要領が変わります。
紛失の場合はどの時点まで確実にあったかを明確にして、当該者の行動を重点に調べればいいです。
しかし盗難の場合、情報を金にしたり不平不満を持つ人物が嫌がらせのためにしたことが考えられます。売られたり隠されたり捨てられたりしているかもしれません。
探す場所も変わってきます。
情報流出してないか?ファイル暗号化のログ収集
紛失にしろ盗難にしろ情報が流出したかどうかが大事です。
我が社はファイル暗号化ソフトが導入されていて、USBなどの記憶媒体にデータが移動された時には自動的に暗号化される仕組みがありその履歴も残ります。
それを確認しました。
流出したらまずい個人情報などをUSBに書き込んだ履歴はありませんでした。
仮に書き込んでいてもファイル暗号化されていれば復元は難しく、流出の可能性は低いです。
とりあえず一安心
USB大捜索
人海戦術で捜索です。
パソコン周りから机の中、ポットの中までこんなところには無いだろうというところまで何度も探しました。
嫌がらせの場合「隠す」ということもあるし、探したあとに置くということもあるからです。
仕事をストップして捜索は数日間続きました。
Windowsイベントビューアーでログ収集
こんなことができたとは!と先に気がつくべきでした。
なんと現代のパソコン(Windows)はイベントビューアーでUSBなどの記憶媒体を抜き差ししたログを収集できるのです。
ある時ふと思い立って調べてみたらネットで出てきました。
この方のが分かりやすいです。
このログ収集により無くなった時間以降に最後に使った人の証言の裏付けができました。
注意が必要なのはこのログは削除できるようなので「当該時間に使用した人がいなかった」とは断定はできないことです。
とはいえ大きな手がかりになります。
特に誰も証言していない時間にログが残っていたら誰か嘘をついていたり、わざと証言していない可能性が高くなります。
ログの記録は一定数なので時間が経ってしますと古い記録は上書きされてしまいます。
一部は上書きされてしまっていました。
アーカイブ設定をしておけば残っていたものの。
このまま諦めるのか。
いえ、諦めません。
Windowsを一定期間前の状態まで戻すことができるそうなのです。
奇跡の復活!うっかり削除したファイルを一瞬で復元できる最強対処法
しかしここでもまた問題です。
「システムの復元」が無いのです。
つんだ。
結果
発見できませんでした。
盗難かどうかも分からず。
ただ情報流出の可能性は低く、社外への影響は無いため事件は迷宮入りして終わりました。
教訓
参考に教訓をまとめます。
内部不正は「機会」「動機」「正当性」の3要素が揃って発生します。
社内の人を無条件に信じず普段から「機会」を与えないことが大事です。
パソコンのイベントビューアーをすぐ確認
このログは役立ちます。ただアーカイブの設定をしないと上書きされていくので早い段階で収集すべきでした。
社内の人を信じるな
仕事をする上で信頼は大事です。
しかし情報セキュリティにおいては性悪説に基づいて常日頃から対策を講じることが大切です。
利便性の観点から保管庫を開けたままにしたり個人保管にしたりするようになっていきますがなってはそれはいけないのです。
不平不満を持った奴が嫌がらせをするかも、と思うのが大事です。
管理者の知識向上
大事だと思います。言われた事をマニュアルに則ってやるだけでなく、しっかりした知識が必要です。理解して対策を講じることが必要なのです。
私はこれを機に情報セキュリティマネジメントの試験を受けてみることにしました。
情報セキュリティ全般についていい勉強になって難易度も高そうではありません。