現在の攻撃者は怪しいメールで添付ファイルを送らない

rakuten-150217

突然だが想像してみてほしい。
「怪しいメール」を開かないのは当たり前、「怪しくないメール」を見分けられますか?

2015年6月1日、日本年金機構は大規模な個人情報流出事故を起こしたことを発表しています。報道によると、職員がマルウェアが添付されたファイルを開いた結果、マルウェアに感染してしまい個人情報を外部に持ち出された、という経緯となっています。

年金情報を管理する基幹システムに保存されている個人情報を、内部規定に違反しファイルサーバにデータを保管していたことがわかっており、現在、日本年金機構では公式Webサイトを一時的に停止し、社外メールの使用を禁止するという事態にまで発展しています。

このニュースを見た人は、「怪しげなメールに添付されたファイルを開くなんて、なんて意識が低いんだ」と思った方も多いのではないでしょうか。

しかし、「怪しげなメール」を「本当に」見分けることができるといえるでしょうか。

スポンサーリンク

日本年金機構の対応は×、でもマルウェアに感染したことは…

今回、日本年金機構で起こったことは、「標的型攻撃」と言われる、あらかじめ標的とした企業や組織を対象とした攻撃で、「怪しくないメール」を送り付けてマルウェア感染を誘う手法です。

「怪しいメールを開かない、知らない相手からのメールに添付されたファイルは開かない」と、社内で通達されているのはよく見る光景ではありますが、マルウェアを送信する側も明確な意図をもっている以上、あきらかに怪しいメールを装うというのは本来考えにくいことです。

マルウェアに感染自他事実が内部で明らかになってから発表、対策されるまでの時間がかかりすぎていることや、マルウェアに感染した後の対策が不鮮明であること、内部規定に反して基幹システムの個人情報データをファイルサーバに保存していたことなど、日本年金機構に問題があることは明らかですが、「マルウェアに感染すること」については安易に非難されることではありません。

「添付ファイルを開くなんて」と言い切れますか?

過去にもベネッセや日本航空など大企業が個人情報流出を引き起こし、大きな問題となったことは記憶に新しいところです。

皆さんがお勤めの企業でも、これらを教訓として社内で「メール」の取り扱いについて改めて通知があったところもあるのではないでしょうか。

もしかすると、今まで届いていた標的型攻撃メールは運よく「迷惑メール」に振り分けられているだけで、明日にでもあなたの受信BOXに届くかもしれません。

IPA(情報処理推進機構)が公開する「標的型攻撃メール<危険回避>対策のしおり」で紹介されているメール事例(下記画像参照)をご覧ください。

ipa-150609

IPA「標的型攻撃メール<危険回避>対策のしおり」 [PDF]

このメールを見て、あなたは「標的型攻撃メール」だと判断し、ごみ箱に捨てることができるでしょうか。たとえば取引先の名前を名乗り、「新商品のご紹介」や「夏季休暇のご案内」などのタイトルで、PDFファイルが添付されていた場合、無視することはできるでしょうか。

海外との取引がないにもかかわらず、英文メールが届きそのメールを開く、ということは容易に避けることができるでしょう。しかし、一見怪しくないメールを開かないことはとても難しいことです。

見分けられないなら、それ前提の対策も視野に入れて

現在では、「怪しいメールを開かない」は広く浸透し、攻撃者側にも浸透しているのはIPAが紹介する事例でも明らかです。

マルウェアをどの時点で防御するか

たとえば、マルウェアに感染することをある程度許容するという考え方があります。

セキュリティにはさまざまな考え方があり、「マルウェアをパソコンに侵入させない」というのが何よりですが、攻撃手段が日々進化することを考慮し、「侵入は避けられない」ということを念頭に置き、「マルウェアを実行させない」、「マルウェアに通信させない」といった対策を取る必要があります。

これらを可能とするものが「サンドボックス」や「データ実行防止(DEP)」、「データ流出防止(DLP)」と言われる技術になります。

また、もっと単純に考えて、メールやWebなど外部に接続するパソコンと、基幹システムなど業務アプリケーションが動く端末を分けてしまうことも有効です。もちろん、社員がUSBメモリなどを自由に使えなくするようにすることも必要ですが、単純ながら効果は高い手法と言えるでしょう。

セキュリティ対策は、何かをすれば終わり、というわけではありません。

攻撃側は常に新しい手法や洗練された手法を編み出してくる一方で、企業側ではセキュリティ対策への知識不足、個々の社員への教育が行き届かないなど、圧倒的に攻撃側が有利と言える状況です。

起こってしまったことを教訓に、どうすれば防ぐことができるのか、最悪の事態にならないようにするためにはどうすればよいのかを考えていく必要があるでしょう。

企業に限った話だけではなく、家庭でも同様のことが言えるでしょう。家族でパソコンやメールの使い方を改めて一緒に学ぶ機会を設けていくのも今後につながっていくのではないでしょうか。

スポンサーリンク

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です