2021年10月11日月曜日

Ekranで情報漏えい元と漏えいした内容を調査する

 

本日は、PC、サーバーの操作画面を記録して情報漏えいや内部不正を抑止するセキュリティ製品「Ekran」を用いた、 情報漏えい元と漏えいした内容を調査する方法をご案内させて頂きます。


テレワークの拡大に伴い、チャットを活用する機会は爆増しました。また、各メーカーは、チャットツールを用いたカスタマーサポートに力を入れています。チャットツールは手軽にコミュニケーションが取れる便利なツールですが、その利便性から、情報漏えいの手段にもなり得るといえます。

そこで、万が一チャットツールを悪用した情報漏えいが発生した場合、Ekranの記録情報を用いて情報漏えい元と
漏洩内容を確認する方法についてご案内させて頂きます。

 

 情報漏洩のケース

・社内より機密情報が外部に流出し、SNSで拡散された。

・拡散された内容から、内部の犯行である可能性が高い。

 情報が投稿された日までは確認ができた。
 メールのアーカイブデータを確認したがヒットしなかった事から、チャットツールから漏洩した可能性が高い。

・社員が使用しているパソコンには、Ekranが導入されている 


追跡したい情報と証跡

・情報漏洩に使用されたツールは何か

・外部へ情報を流した実行犯は誰か

・情報流出は意図的なものか、事故なのか


・情報を外部に流した手段は何か?(文字なのか、写真なのか、ファイルなのか)

・情報を流出させた瞬間の操作画像記録(SNSで拡散された情報と照合ができるもの)

 

Ekranを使用して情報漏えいの証拠を手に入れる


 Ekranでは、取得した操作記録をセッションプレーヤーから確認することができます。

 

Ekran ナビゲーションメニュー

Ekranの管理ページから、セッション一覧ページを開きます。

Ekranが取得しているすべての操作画像記録がセッション一覧ページに一覧表示されます。

 

ユーザー名、クライアント名、リモートホスト名、ログイン・ログアウト日時が記載

漏えいが疑われるチャットツールのアプリケーション名を検索ボックスに入力し、検索を実行します。

 

 

実行日時に、漏えいを確認した時期から、少し余裕を持った期間を指定します。

 

〇時間、〇日間という指定も可能

 

以上の絞り込みを行うことで、今回は「1週間以内に、指定したチャットツールを使用したセッション」のみがセッションプレーヤーに表示されるようになります。

 


このように絞り込みを実施する事で、情報漏えいの証拠が捜索しやすくなります。

再生したいセッション(行)をクリックすると、「セッションプレイヤー」を開くことができます。

 

とはいえ、各セッションの中にある操作記録は、かなりの量になります。社員が一日中端末を使用してい場合は、1セッションあたり8時間程の記録が残っていると想定されます。

Ekranなら、各セッションの細かい操作記録までキーワードで絞り込むことができます。今回の場合は、チャットツールを使用していた時の記録のみが表示されます。

セッションプレーヤーの画面

 

 プレイヤー右ペインのテキスト(時間、ウィンドウタイトル、アプリケーション名等)をクリックすると、その時刻に対応する記録画面(スライド)が左ペインに表示されます。

これで、目視により問題の操作を発見できます。

Ekranは「マウスのクリック」や「キーボードタイプ」などの操作をトリガーにして画像記録を行うため、ユーザーが操作時に目にしていた画面の再生・再現が可能です。 


Ekranはここまで絞り込みを行ったうえで、目視で簡単に確認を実施することができます。

 

 

問題の操作を発見しました。この記録から、「発生日」「発生時刻」「端末名」「ユーザー名」「使用アプリケーション名」「故意の流出か否か」「情報流出の手段」「流出した相手の名前やアカウント名」「流出の決め手となる証拠の画面記録」を手に入れることができます。

 

このように、Ekranは 一目見て分かる証跡を、簡単に見つけることが可能です。

万が一の時も、迅速な原因の究明と対策の施行をお手伝いさせて頂きます。


いかがでしたでしょうか。今回は、Ekranで情報漏えい元と漏えいした内容を調査する方法をご紹介しました。

それでは、次回の記事をお楽しみに!
Ekranにご興味を持っていただけましたら、以下のリンクからお問い合わせください。