九州電力送配電は6月8日、最大1090万口分の顧客情報を保存した外部記憶媒体が、社内サーバ室のキャビネットから所在不明になっていると発表した。媒体は契約者氏名・住所などを含み、紛失か持ち出しかは調査中。同社は「現時点で情報の流出は確認されていない」とするが、ライフライン事業者で起きた国内最大級の物理セキュリティ事案になる。
サーバ室の中なのに「キャビネットを施錠していなかった」 #
報道で最も衝撃的なのは、媒体を保管していたキャビネットが 施錠されていなかった 点だ。サーバ室には入退室管理があるとはいえ、その内部の保管庫が無防備なら、社員・委託業者・清掃スタッフなど 「正規に部屋に入れる人」全員 が容疑者になる。サイバー攻撃のようにログや通信痕跡が残らないため、調査は監視カメラと入退室記録の突合に頼るほかなく、原因特定に時間がかかる典型パターンだ。
媒体に 暗号化が掛かっていたか も焦点だ。掛かっていれば悪用ハードルは劇的に下がるが、現時点の発表では触れられていない。バックアップ用テープや HDD は「サーバ室の中にあるから大丈夫」という思い込みで平文保管されがちで、海外でも同種の事案が繰り返されてきた。
レッドチームから見れば「ゴール手前」の状態 #
近年のペネトレーションテストでは 物理侵入と内部犯コース の依頼が増えている。受付突破、入館証クローニング、サーバ室の鍵付き什器のピッキング — どれも数十分で抜けるケースがあり、いくら多層防御を組んでも、最後の保管庫が南京錠一つで突破できれば台無しになる。顧客情報を持つ媒体を施錠なしで置いていた状況は、攻撃者視点では 「サーバ室まで入れればゴール」 という、レッドチームが理想とする条件だ。
防御側がやるべきことは三つに集約される。保管庫の確実な施錠と棚卸し台帳、媒体の常時暗号化 (BitLocker / LUKS / FileVault)、退避メディアの定期廃棄ポリシー — サーバ室内部こそ「最後のひと手間」が抜けやすい場所であることを、今回の事案は突きつけている。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。