被害の拡大する標的型攻撃は、技術、訓練、危機管理の三位一体で守る

日本年金機構や東京商工会議所の個人情報流出事件には、共通した特長があります。それは「標的型メール」と呼ばれる攻撃手法が使われている点です。メールにウイルスを添付して、開いた相手のPCを感染させる、という手口は、決して新しいものではありません。しかし、「標的型攻撃」では、その手口が巧妙化しているのです。セキュリティの専門家であっても、開いてしまう危険性がある「標的型メール」とは、どのようなものなのでしょうか。そして、それを防ぐためにはどうすればいいのか。社会問題となっているセキュリティ対策について、考えてみましょう。

●巧妙化する標的型メールの文面とウイルス感染の仕掛け

日本年金機構や東京商工会議所の情報流出は、果たして「うちの会社には関係ないこと」と無視できる事件でしょうか。金融機関、官公庁や大手企業であれば、犯罪者から情報を狙われることはあっても、個人情報もなければ企業秘密もさほど無いと思っている多くの会社は、今回の事件を他山の石にしようとは考えていません。しかし、それはとても危険なことかもしれません。犯罪者による不正アクセスは、何も個人情報だけが目的とは限らないのです。例えば、パソコンで金融機関の口座にアクセスして、残高照会や送金などの業務を行っている会社であれば、そのパソコンが乗っ取られてしまえば、不正送金に使われてしまうかもしれません。また、自社に大切な企業機密がなくても、取引先の大手企業が有名な場合には、その企業に攻撃を仕掛けるための踏み台になってしまう危険性もあるのです。そのため、今回の事件は多くの企業にとって、「標的型攻撃」の危険性を実感する重要な出来事だったのです。
それでは、実際に日本年金機構や東京商工会議所の職員は、どのようにしてウイルスに感染し、個人情報を流出してしまったのでしょうか。その理由は、巧妙化する「標的型メール」です。この標的型メールは、スパムメールのように数打てば当たる、という無駄な攻撃ではなく、ピンポイントで標的を狙ってくる悪質で巧妙なメールです。例えば、過去に国内の民間企業を狙った標的型メールでは、「外務省欧州局西欧課」のように実在する部局を騙っていたり、「自民党広報本部」として総裁選の情報に見せかけてウイルスを添付するなど、思わず開いてしまうような手口が使われているのです。さらに、ターゲットを絞って攻撃するときには、その部署や担当者に関連する情報を事前に調査して、あたかも実在する人物から送られたかのようなメールの件名や文面を偽装するのです。時には、最初の何通かは普通にやり取りして、相手が信用した時点でウイルスを仕込んだファイルを添付してきます。これだけ巧妙な手口を使われてしまえば、多くの人が騙されてしまうのです。

●怪しいメールは開かない、が通用しない現実への対策とは

おそらく「怪しいメールは開かないように」という通達は、多くの企業で実施しているでしょう。しかし「標的型メール」は、一見しただけでは「怪しくない」のです。そのため、スパムメールのフィルタ処理からも除外され、社員のメールボックスに届いてしまうのです。さらに、添付されているウイルスも悪質になっていて、ウイルス検出ソフトでも発見できなくなっています。中には、添付ファイルを開くとダミーの文書が開いて、その裏で気づかれないようにウイルスを仕込む手口もあるのです。そのため、メールを開いた本人にはウイルスに感染した自覚がないので、発見も遅れてしまうのです。今回の日本年金機構の事件でも、「標的型メールはセキュリティの専門家でも開いてしまいそうになるほど巧妙で、メールを開いてしまうことを前提とした対策が必要だ」と、専門家がニュース番組でコメントしています。
さらに注意するべき脅威が、添付ファイルではなく、ウェブを経由した攻撃です。これは「水飲み場型攻撃」と呼ばれているもので、アクセス数の多いウェブサイトに罠を仕掛けて、ウイルスを仕掛けたファイルをダウンロードさせる方法です。実際に昨年、ある電子機器メーカーのウェブサイトが改ざんされ、ルーターのファームウェアをアップデートするファイルがウイルスと入れ替えられてしまい、ダウンロードした多くのユーザーが感染する事件も起きています。「標的型メール」の中には、ウイルスを添付しないで、この「水飲み場」に誘導するためのリンクを伝えてくるケースも増えています。ウェブのリンクは、ウイルス検出ソフトの検査もかいくぐってしまうので、さらに予防が難しくなります。
もはや、「怪しいメールは開かない」が通用しない現実に対処するためには、これまでの方法ではダメなのです。「これまで以上」の対策を講じていかなければ、会社も社員も顧客も守れないのです。

●それでも感染したときに、企業がとるべき危機管理の最前線

それでは、実際に「これまで以上の対策」には、どのようなものがあるのでしょうか。その一例が、農林水産省の調査報告書です。農林水産省では、2012年1月から4月にかけて、5台のパソコンから合計124点の行政文書を流出させてしまいました。この反省から農林水産省は、2013年1月にサイバー攻撃に関する調査委員会を設置し、その中間報告書で、以下の対策を指摘しています。


1.危機体験の共有
2.情報システム、ネットワークの構築に関する基本的な考え方と対策
3.体制の整備
4.CIO補佐官などの外部専門家の活用
5.情報セキュリティ・情報システム業務を担う人材の育成・確保
6.職員による情報システムの利用に関する対策
7.訓練と利用者研修の徹底
8.CSIRTの活用

(農林水産省へのサイバー攻撃に関する調査結果 中間報告)
http://www.maff.go.jp/j/press/kanbo/hisyo/pdf/130524_1-02.pdf

これらの8つの項目の中で、多くの企業や組織が最短で取り組める対策が、7の「訓練と利用者研修の徹底」です。標的型攻撃を水際で防ぐためには、最先端の技術を駆使することも大切ですが、何よりも職員一人ひとりの防犯意識が大切なのです。巧妙な手口でメールを読ませて、ウイルスに感染させようとする犯罪者に対して、私達は「防犯」という意識で立ち向かわなければなりません。
もちろん、残る7つの対策も、すべて有効なものですが、体制の整備や外部の専門家の活用には、それなりの準備期間が必要です。その間にも、秒単位で攻撃は仕掛けられています。その攻撃を少しでも予防していくためには、まずは意識変革から推進するのが賢明だと思うのです。また、この対策の2にある「情報システム、ネットワークの構築に関する基本的な考え方と対策」として、もしも感染してしまった後の対応を迅速に行うために、常にネットワークパケットを監視し、異常な動きに対して俊敏に反応できる分析サービスも有効です。

適切な対応をとるためには、経験や疑似体験、最新の正しい情報を得ることが重要になってきます。
今回のような事件が発生したことは残念ですが、セキュリティ対策は、どこかでなにかが発生しないと対策されないという一面もあります。今回を契機に、対岸の火事として傍観するのではなく、自身の身にも起こりえること捉えて見つめなおすことも必要だと考えております。

** コラム執筆 **
ユント株式会社
田中 亘