必要最低限の情報セキュリティ対策、ウイルスソフトのインストールや社員への啓蒙を行っている企業は多い。しかし、企業は高度化する手法に対抗すべく自社の現行の予防法を見直すべき時期に来ている。
なぜなら、標的型メール攻撃の場合、ウイルスが入り込むのはメールや通常のウェブ閲覧を通じたものであり、人が能動的に動くことによってウイルスが蔓延するからだ。そして、入り込んだウイルスは、組織内部に潜伏してデータを抜き取っていく。
―17日、ヤフーは最大2200万件にのぼるID情報を抜き取られた可能性があると発表した。4月にも不正アクセスによる攻撃を受けたばかりだ。米国では先日、AP通信が不正アクセスにより「オバマ大統領のケガ」を報道し、話題になった。
個人情報を扱う企業や報道機関への攻撃は、なぜ頻発するのか。広報会議6月号の巻頭レポートでは、高度化するサイバー攻撃の実態について取り上げました。アドタイでは、3回にわたってご紹介します。
【バックナンバー】
・1回目 人間心理を巧みに利用。高度化するサイバー攻撃の手法(2013/5/23)
【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口(2013/5/23)
ITを取り巻く環境や時代変化に伴い、サイバー攻撃の手法、攻撃者の意図は多様化している。これらに企業が巻き込まれることは、金銭的に大きな損害を受けることにとどまらず、株価や経営環境に大きな打撃を与え、対応の仕方によっては、そのブランドを毀損する危険性もある。
規模や業種問わず危険が迫っている
企業や組織が保有している機密情報(個人情報や特許情報、財務関連情報など)を狙ったこれらの攻撃にさらされているのは、一部の大企業や先端技術を持つ企業に限られたことではない。
国内サイトがサイバー攻撃を受けた際、その対応支援を行うJPCERT/CC 情報セキュリティアナリストの満永拓邦氏は、「標的型攻撃は、ターゲットとする企業に対して直接攻撃を行うこともありますが、関係会社や取引先に攻撃を行い、それを踏み台として間接的にターゲットを狙う例も多い」と規模や業種に関わらず全ての企業・団体に注意を促す。
また、標的となる機密情報は、必ずしも攻撃対象だけが持っている訳ではなく、取引先もその一部を保持している。情報は必ずしも、フルで得られなくてもよいもの。断片的な情報から推測することも可能だ。
サイバー攻撃に詳しいデロイトトーマツリスクサービスの丸山満彦氏は、「いまや情報セキュリティ対策は、企業のブランディングの一環と考えた方がよい」と話す。
たとえば、ウェブ改ざんやSNS のなりすましなどのニュースが報道されると、標的となった企業のセキュリティ対策の〝甘さ〞が印象として残る。「たとえ、アクセスの仕方が不正であっても、ニュースでは〝情報漏えい〞などと報道されることで、その企業への信頼が失われることがあります」。
今年1月から3月にJPCERT/CCに報告されたインシデント(情報セキュリティ上脅威となる事案)では、ウェブ改ざんの件数が前4半期から61%増加し、1184件にのぼった。
ウェブ改ざんには、画像などを挿入する目に見えるものから、ウイルス配布サイトなどの攻撃サイトへの誘導といった目に見えない改ざんもある。「つまり、改ざんされたウェブの閲覧者のPCがウイルスに感染する恐れがあり、顧客などに迷惑をかける危険性もあります。目に見える改ざんであっても、不正侵入されているということなので、他の情報を窃取されている可能性があります」(満永氏)。結果、攻撃を受けた企業のブランドは失墜しかねない。
攻撃に気づかないケースもある
リスクコンサルタントの白井邦芳氏は、国際ハッカー集団「アノニマス」のような抗議を目的とした攻撃にも注意すべきだと話す。インターネットへの検閲や政府・企業の情報統制に対する抗議を目的とした彼らの活動には、マスメディアが注目しているからだ。
「暴かれ方がどのような方法であれ、その動向が注視されているアノニマスに情報を抜き取られ、企業にとってはよくない情報が表に出てしまうことは大変な損害になり得ます」。
白井氏はさらに最近の攻撃の危険性について「〝攻撃〞であることが必ずしも明らかではないため、被害者が機密情報を抜き取られたことに、すぐに、もしくは長期間気づかないことも多い」と指摘する。偶然、標的型メール攻撃において、なりすました人物や組織に連絡をとったことで「そんなメールは送っていない」と言われ、事態が発覚するケースもある。また、攻撃に気づかないと同時に、それが発覚した時にも「被害の全容や攻撃者の意図が解明されづらいケースが増えている」(丸山氏)。
広報担当者は万が一の事態に備え、正確・迅速な対応ができるよう、ニュースレベルのセキュリティ動向や上に示したようなインシデントの種類、用語などを知り、発生時のシミュレーションをしておくことが求められる。
■主なインシデント事例
○ フィッシングサイト:銀行やオークションなどのサービス事業者の正規サイトを装い、利用者のID やパスワード、クレジットカード番号などの情報をだまし取る「フィッシング詐欺」に使用されるサイトを指す。
○ ウェブサイト改ざん:攻撃者もしくはマルウエア(悪意のあるプログラムやウイルス等)によって、ウェブサイトのコンテンツが書き換えられたサイトを指す。
○ マルウエアサイト(ウイルス配布サイト):閲覧することでPC がマルウエア(ウイルスと同義)に感染してしまう攻撃用サイトや、攻撃に使用するマルウエアを公開しているサイトを指す。
○ スキャン:サーバやPC などの攻撃対象となるシステムの存在や、その弱点を探索するために、攻撃者によって行われるアクセスで、攻撃対象への事前の調査行動。
○ DoS/DDoS:ネットワーク上に配置されたサーバやPC、ネットワークを構成す
る機器や回線などに対して、本来のサービスを不能にする攻撃を指す。
○ 制御システム攻撃:製造業を含むさまざまな産業の工場などのほか、石油プラントや電力システムなど国民生活の基盤サービスを提供する重要なシステムだが、それを不能にするための攻撃を指す。
出典:JPCERT/CCインシデント報告対応レポート(2013年1月~3月)より一部編集
【バックナンバー】
・1回目 人間心理を巧みに利用。高度化するサイバー攻撃の手法(2013/5/23)
【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口(2013/5/23)