午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

公共の場で業務用端末を使うのは本当にやめた方がいい

セキュリティ 他山の石 ソーシャルエンジニアリング

2/11 ~ 2/12 の間、浅草橋で実施された「SECCON 2022 電脳会議」に参加し、いくつか気になった講演を聴いたりワークショップに参加したりしました。

www.seccon.jp

内容のうえでもためになる知見がいろいろ得られたのですが、プログラム外でもいくつか学びがありました。

 

今回はその一つを共有します。

 

 

見覚えのある「あの会社」のロゴ

ある講演を聴講していたとき、ふと視界の右端に見覚えのあるものが現れたような気がしました。

 

私の座っていたところから2列前の右側に、ずっと PC を操作している男性がいました。私の興味を引いたものはその画面の中にありました。

 

彼がそのとき操作していたのはプレゼンテーションソフトで、スライドの表紙には、SECCON のスポンサーに名を連ねるあるセキュリティ企業 (以下、A社) のロゴがドカンと配置されていました。

私もよくブログを参考にしている会社です。

 

それが本当の業務上の資料なのか、すぐに公開する大した機密性のない資料なのかは判然としませんでした (当日 LT が実施されていたのでそれ用かもしれないと思いました) が、コーポレートロゴが入った資料を社外の人が編集することはあまりないと思われますので、「その男性=A社の社員」であろうと当たりをつけました。

 

その後講演を聴くついでにチラチラ観察していたところ、次のことが判明しました。

 

  • デスクトップの背景はシンプル (無地?) で、それなりの数のアイコンが配置されている
  • Slack を使っている
  • TweetDeck を使っている

 

私物にしては飾り気がなさすぎるので、その端末で会社の資料を編集していた点と合わせて、業務用端末の可能性が高いと判断しました。

業務用端末で使用しているということは、「A社で広く使われているコミュニケーションツールが Slack である」こともそれなりの確度でいえると思います。

 

何がいけないのか

「Slack や TweetDeck なんかあちこちで使ってるし、バレても大した問題ではない」とお考えの方もいらっしゃると思います。

その通りです。

 

しかし、それ以上の情報が得られなかったのは他に原因があります。

 

  • 前後に2列離れていた。私が着席していたのがすぐ後ろの列だったらもっといろいろ見えたはず
  • 私は視力が悪く、離れた場所の文字を読み取るのが非常に苦手。標準かそれ以上の視力の持ち主ならもっといろいろ見えたはず

 

Slack を使っていることがわかったのは Slack の画面が見えていたからであって、距離と視力に問題がなければメッセージの内容まで判読できていてもおかしくなかったのです。

 

なおこの男性とは別に、どこの会社かは不明ですが業務用端末を使っていた方が私の視界にもう一人いて、その方は MS Teams を見たり何かのコード (のように表示されていたがただのテキストファイルかも) を読んだりしていました。

それがわかったのは Teams やテキストエディタの画面が見えていたからであって、私の目がもう少し良ければ内容を読むことができたのは同様です。

 

イベントの性質上、人一倍セキュリティに興味がある人しか来ないはずですが、こういうところは気にしないものなんだな……と思いました。

 

そういえば……

ここまでクリティカルではないものの、類似の体験をしたことを思い出しました。

2022年 10月、新潟県湯沢町でのことです。

 

「情報セキュリティワークショップin越後湯沢2022」の会場で、開演前に暇を持て余していた私は、前方の女性が使用している端末が気になりました。

その画面に映っていたのは、私もよく読んでいる、あるセキュリティ企業 (以下、B社。A社とは別の会社) のコーポレートブログだったからです。

 

ただ、私が普段見ているものとは異なり、その画面にはコードらしきものも映っていました。

「もしかしたらこの女性は B社で広報などを担当していて、ブログを編集中なのかもしれないな」と何となく思いました。

私とその方の席との間には通路があり、それなりに離れていたのでそれ以上のことはわかりませんでした。

 

(B社はのぞき見防止ソリューションを提供しており、その端末にも導入されていた可能性がありますが、あれだけ離れていてはまず効果はないと思います)

 

のちに B社は「広報の方が情報セキュリティワークショップin越後湯沢2022 に (私と同じ会場で) 参加した」旨のレポート記事をブログに掲載しました。

その広報の方が私の目にした方と同一人物かどうかは不明ですが、私はそうだったのではないかと疑っています。

 

機密情報が漏れるような話ではありませんが、同じ場に居合わせただけで知り合いでもないし声を交わしてもいない相手に身元を推定されていて、本人がそのことに気づいていないというのはあまり喜ばしい状況ではないと思います (自分でやっておいて言うのも何ですが)。

 

会社の資料は特に危ない

浅草橋と越後湯沢、両方のケースに共通しているのは「距離と視力の問題で内容は読み取れなかったが、どこの会社かはすぐ特定できた」という点です。

 

それなりに離れたところからでも、知っている人なら会社のロゴやコーポレートカラーを判別することは容易です。

顧客に識別され強い印象を残すことを目的に作られているのですから当然です。

 

あなたはいくつわかりますか?

試しにセキュリティ系企業のコーポレートカラーをいくつかピックアップしてみました。

色ひとつでもけっこうどこの会社かわかると思います。

(たくさんわかるほどエライというわけではありません。念のため)

 

こうした意匠が含まれる資料などを公共の場で見るということは、「私はここの者です」と宣伝しているようなものです。

 

結論

  • イベントの席は公共の場であって、後ろの席から丸見えである
  • 特に会社のロゴなどが含まれていると、遠くからでも一発で身元を特定される
  • 業界人が集まるイベントなら、なおさら

 

もともと仕事熱心な方でないのでイベントに来てまで仕事なんかしたくないなとは思ってましたが、今回の件でそういう気は 1ミリもなくなりました。

 

大事な機密情報を守るため、今後も休みの日に仕事にまつわることは一切しませんので、弊社の方におかれましてはどうかご理解いただきたく存じます。

Â