トラッシング(またはスキャベンジング)という手法による情報漏洩のリスクも無視できません。この手法は、物理的なゴミから機密情報を取得することで、企業や個人のデータが悪用される可能性を秘めています。デジタルセキュリティが重要視される中、物理的なセキュリティ対策も忘れてはならない点です。本記事では、トラッシングの概要やその対策方法について解説します。

SentinelOne 特設サイト
AIによる次世代セキュリティで、ミリ秒で自動防御を実現
AI駆動EDR「SentinelOne」
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです。
平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

トラッシング(スキャベンジング)とは

トラッシング(trashing)またはスキャベンジング(scavenging)とは、廃棄物やゴミの中から情報を探し出し、機密情報や個人情報を盗む手法です。語源は「trash(ゴミ)」から派生しており、情報セキュリティの世界では、ゴミ箱に捨てられた書類や物理媒体から情報を得る行為を指します。紙媒体や古いハードディスク、USBメモリなど、不要となったものをターゲットにするため、デジタルセキュリティとは異なる物理的なリスクが存在します。

トラッシング(スキャベンジング)による被害が起こりうる状況

🔴印刷物・処分予定の書類などの悪用

トラッシングによる最も一般的なリスクは、印刷物や処分予定の書類からの情報漏洩です。例えば、企業が重要な契約書や顧客情報を適切に処分せずにゴミとして廃棄した場合、攻撃者はそれらを悪用することができます。こうした紙媒体には、機密情報が含まれていることが多く、シュレッダーを使わずに廃棄すると情報が簡単に盗まれてしまうリスクがあります。

🔴記憶媒体などの処分

USBメモリやハードディスクといった記憶媒体も、トラッシングのターゲットとなります。データが消去されていないまま廃棄された場合、簡単に復元され、機密情報が漏洩するリスクがあります。物理的に破壊されていない記憶媒体は、攻撃者にとって貴重な情報源となり得ます。特に、中古市場に流れる際に適切なデータ消去が行われていないケースが多く見られます。

🔴パスワード等が記載されたメモや付箋など

日常的に使用されるパスワードやIDが書かれたメモや付箋紙も、トラッシングによって悪用される可能性があります。多くの従業員が、パスワードを忘れないようにとデスク周りにメモを貼ってしまうことがあり、そのまま処分された場合、攻撃者はそれを拾い上げ、システムへの不正アクセスを試みることができます。

トラッシング(スキャベンジング)の対策

🟢機密情報などを破棄する場合のツールを徹底する

トラッシングを防ぐための最も基本的な対策は、機密情報を廃棄する際に適切なツールを使用することです。例えば、シュレッダーを使って書類を細かく裁断することや、記憶媒体を物理的に破壊することが推奨されます。特に、シュレッダーには、情報を完全に復元不可能にするために、クロスカットやマイクロカットができるものを使用することが重要です。

🟢外部業者へ処分を依頼する場合は信頼できるところへ

情報を外部業者に処分依頼する際には、信頼できる業者を選定することが重要です。過去には、不適切に処分された書類やデバイスが流出し、情報漏洩につながったケースも報告されています。業者がどのような処分プロセスを採用しているかを事前に確認し、信頼性のある企業に依頼することが必須です。

🟢印刷物などは裏紙として使用しない

印刷物や書類を裏紙として再利用することも、トラッシングのリスクを高める要因となります。機密情報が記載された書類が裏紙として使われ、そのまま外部に出回ってしまうことがあります。企業内で裏紙としての利用を制限し、機密情報が含まれている可能性がある場合は、再利用せずにシュレッダーで裁断するなど、徹底した処分を行うことが重要です。

サイバー攻撃対策をするなら

未知の攻撃にも対応できるセキュリティツールの導入

サイバー攻撃に対処するためには、最新のセキュリティツールの導入が不可欠です。特に、ランサムウェアやゼロデイ攻撃に対しては、従来のウイルス対策ソフトでは不十分であり、AIを活用したEDR(Endpoint Detection and Response)や次世代ファイアウォールの導入が効果的です。これらのツールは、未知の脅威にも迅速に対応でき、攻撃が発生する前にシステムを保護することが可能です。

SentinelOne 特設サイト
AIによる次世代セキュリティで、ミリ秒で自動防御を実現
AI駆動EDR「SentinelOne」
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです。
平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

セキュリティについて従業員教育を行う

サイバー攻撃対策を効果的に実行するためには、技術的なツールの導入だけでなく、従業員一人ひとりのセキュリティ意識を高めることも重要です。多くのサイバー攻撃は、従業員の不注意や不正な操作によって引き起こされるケースが少なくありません。特に、フィッシングメールや悪意のあるリンクをクリックしてしまうことによる情報漏えいは防止可能なものです。定期的なセキュリティ研修やシミュレーションを行うことで、従業員が最新の攻撃手法を理解し、適切な対応を取れるようになります。

セキュリティ対策のガイドラインを策定する

効果的なセキュリティ対策を実施するためには、企業ごとに具体的なセキュリティガイドラインを策定することが求められます。このガイドラインでは、データの取扱い方法、アクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義します。従業員が守るべきセキュリティ基準を文書化することで、全員が一貫したセキュリティ対策を実施できる環境を構築します。

また、ガイドラインを定期的に見直し、最新のサイバー攻撃手法に対応するために必要な変更を加えることも重要です。企業の業務内容や使用する技術の変化に応じて、適切にセキュリティポリシーを更新することで、サイバー攻撃に対する防御力を維持できます。

SentinelOneに関する詳細は下記バナーから特設サイトへ

Sentinelone