必要最低限の情報セキュリティ対策、ウイルスソフトのインストールや社員への啓蒙を行っている企業は多い。しかし、企業は高度化する手法に対抗すべく自社の現行の予防法を見直すべき時期に来ている。
なぜなら、標的型メール攻撃の場合、ウイルスが入り込むのはメールや通常のウェブ閲覧を通じたものであり、人が能動的に動くことによってウイルスが蔓延するからだ。そして、入り込んだウイルスは、組織内部に潜伏してデータを抜き取っていく。
―17日、ヤフーは最大2200万件にのぼるID情報を抜き取られた可能性があると発表した。4月にも不正アクセスによる攻撃を受けたばかりだ。米国では先日、AP通信が不正アクセスにより「オバマ大統領のケガ」を報道し、話題になった。
個人情報を扱う企業や報道機関への攻撃は、なぜ頻発するのか。広報会議6月号の巻頭レポートでは、高度化するサイバー攻撃の実態について取り上げました。アドタイでは、3回にわたってご紹介します。
【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口(2013/5/23)
信頼関係を築いた後、攻撃メールを送信
近年目立つ標的型メール攻撃の特徴は、技術的に機密情報を盗み出すのではなく、人の心理的な隙や行動のミスを利用した〝ソーシャルエンジニアリング〞を使っていることだ。不正行為の告発や採用希望を装うなどしてメールを何通かやり取りし、企業側と攻撃者との間に一定の信頼関係が生まれた後、不正プログラムを添付した、もしくは不正プログラムが仕組まれたウェブサイトを表示させるような標的型メールを送付する。
警察庁が2月に発表した資料によれば、総理大臣就任や尖閣諸島問題など、時事的な事象に合わせ、相手が関心を持ちそうなテーマを引き合いに出すケースも見受けられる。
攻撃者がなりすます相手はさまざまで、時に警察や公共機関の職員など権威・権力者の場合もあれば、同僚やパートナー企業、ベンダーなど何らかの関係者の場合もある。事前調査は綿密で、プレスリリース、財務情報、マスコミ報道、公開されているウェブサイトなどから情報を入手。事前に攻撃対象の組織と関係のある別の組織や人を攻撃し、信頼関係が築けるような情報を間接的に入手するケースもある。
事前情報を得た攻撃者は、その後内部情報を知っていることを誇示し、内輪の人間であると思わせる。その上で、問題が生じたら助けを提供できると知らせておき、実際に問題を発生させることで、被害者から助けを求めるよう仕向ける。ベンダーを装う場合には、新バージョンのプログラムと題して不正なプログラムを送付することもある。もしくは、管理職になりすまし、社員に作業や対応を依頼する形でメールを送る場合もある。特徴は、「至急、今すぐ」という文言だ。
現実世界の諜報活動がサイバー空間に拡張
このように手法が高度化している背景の一因に、IT環境が経済や生活の重要な基盤に成長してきたことがある。経済産業省の政策実施機関として、企業や団体にサイバー攻撃に備えたセキュリティ対策の普及、啓発活動を行っている情報処理推進機構(IPA)研究員の大森雅司氏は、これまでも現実世界にあった攻撃がサイバー空間にも出現している、と指摘する。〝泥棒〞のみならず、敵対国への諜報活動や産業スパイにサイバー空間が狙われるようになっているのだ。
大森氏によれば、サイバー攻撃の手法や狙い、その社会的なインパクトは時代の変遷とともに変化しつつある。コミュニケーションツールとしてインターネットが定着した2000年代前半は、主にいたずら目的のウイルスが流行。攻撃対象はPC やサーバーだったため、その対策としてはファイアウオールや不正検知システムなどのセキュリティ製品を導入すればよかった。
ところが04年以降はECサイトの登場などにより、金銭情報がオンライン上でやり取りされるようになり、攻撃意図に金銭目的が加わる。悪質なウイルスによる情報漏えいや不正送金などの事件も相次ぎ、攻撃対象はPC やサーバーだけでなく、人の心理面やソフトウェアのぜい弱性を狙ったものが登場。これを受け、企業や組織は内部統制やマネジメント体制を確立してきた。
さらに09年以降には、あらゆる産業や生活の基盤、重要インフラを含む多様な端末がネットに接続。攻撃を受けた際のダメージはますます増大しつつある。安倍首相は省庁の枠を超えた対策チームの設置を急ぐなど、サイバー攻撃は今、安全保障や経済権益確保の視点で議論され始めている。
【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口(2013/5/23)