「自分は狙われるはずがない」は大きな誤解
情報窃取を狙うサイバー攻撃で勤務先や取引先を危険にさらさないために行うべきこと
情報窃取を目的にした標的型サイバー攻撃の勢いは一向に衰える気配を見せません。この攻撃では、企業や組織のネットワークに侵入するために従業員の行動の隙を突いてきます。その手口を押さえ、勤務先を危険にさらさないよう5つの対策を実践しましょう。
標的型サイバー攻撃が重大な情報漏えいの引き金に
標的型サイバー攻撃は現在も継続しています。これは、企業や組織が保有する個人情報や技術情報、機密情報を盗み出すことを目的に行われる一連のサイバー攻撃を指しています。
この攻撃の多くは、企業や組織に属する従業員のパソコンに遠隔操作ツール(RAT:Remote Administration Tool)と呼ばれる不正プログラムを感染させ、標的組織のネットワークに侵入することから始まります。RATはサイバー犯罪者からの命令を受けてネットワーク内を探索し、目的の情報を盗み出します。
警察庁の発表によると、標的のネットワークへの侵入口となる標的型メールは近年増加傾向にあります。
標的型メール攻撃の件数の推移
また、トレンドマイクロが2017年に行った調査では、ネットワーク監視対象の企業や組織の約7割が標的型サイバー攻撃にさらされた疑いがあることもわかりました。そのうちの約4割では、実際にRAT本体の検出やRATからの不正な通信の発生が認められています。この結果から、多くの企業や組織が標的型サイバー攻撃にさらされているにも関わらず、それに気づいていない実態がうかがえます。
従業員を巧みにだます標的型メールの手口
標的型サイバー攻撃の多くは、メールが起点になります。企業や組織の従業員にメールを送りつけ、それに添付した不正なファイルを開かせることで遠隔操作ツール(RAT)に感染させ、標的のネットワークに侵入します。
サイバー犯罪者は、従業員にメールの添付ファイルを開かせるためにさまざまな工夫を凝らします。その1つが、実在する部署や人物、取引先などを装って通常の業務メールに見せかけることです。受信者に不信感を抱かせぬよう、もっともらしい件名や本文、署名を記述し、議事録や内部資料などに見せかけた添付ファイルを開かせようとします。
また、外部からの問い合わせを装うメールを送りつけ、受信者が添付ファイルを開かざるを得ない状況に持ち込むこともあります。トレンドマイクロによる調査では、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと本文に記載し、添付ファイルを開かせようとする標的型メールを確認しました。
標的型メールでは、Gmail やYahoo!メールなどの無料で取得できるフリーメールが使用されるケースも多く、受信者が攻撃を察知できるポイントの 1つになっています。ただ、送信元のフリーメールアドレスから受信者の注意をそらす手法は巧妙です。たとえば、受信トレイ上の送信者のメールアドレスを表す 差出人情報に、“送信者名”<SAMPLE@sample.co.jp>などと見出しのように表示するテクニックがあります。また、フリーメールを使用していてもそれほど違和感のないフリーランスの仕事関係者や就職活動中の学生などを装うことで受信者の油断を誘うこともあるため注意が必要です。
従業員一人ひとりができる5つの対策
標的型サイバー攻撃は、企業や組織の規模、業種、地域を問わない脅威です。サイバー犯罪者にとって標的とするか否かの判断基準は、盗み出した情報から利益を得られるかどうかです。サイバー犯罪者が企業や組織にまず侵入するにあたっては、従業員一人一人が誰かは関係ないのです。自分は狙われるような情報を扱っていない、狙われるはずはないと過信をせずに、従業員一人ひとりの心がけが重要です。企業や組織を標的型サイバー攻撃から守るために従業員が行うべき5つの対策を紹介します。
1. サイバー攻撃の手口や狙いを知る
標的型サイバー攻撃の手口や狙いを知ることで、標的型メールを受け取っても冷静に対処し、勤務先や取引先を危険にさらす不用意な行動を回避できるはずです。最新の脅威情報を知るには、セキュリティ事業者や団体の公式SNSなどをフォローするのも方法の一つです。
2. SNSで不必要に企業や組織の情報を公開しない
SNSでは、業務メールアドレスや勤務先の内部情報などの公開を控えてください。SNSは、サイバー犯罪者にとって格好のスパイ活動の場です。プロフィールや人間関係などを把握した上で信ぴょう性を高める標的型メールを作成し、あなたを罠にかけようとするかもしれません。見ず知らずの人物に攻撃のヒントを与えないよう、それぞれのSNSに適切な公開範囲を設定しておきましょう。SNSの利用について勤務先が定めるガイドラインやポリシーを確認しておくことも大切です。
SNSの利用ルールを確認
LINEタイムラインのプライバシー設定
3. メールの添付ファイルやURLリンクを不用意に開かない
たとえ、実在する部署や人物、取引先から届いたメールでも無条件に信用してはいけません。どんなにそれらしい内容でも、添付ファイルやURLリンクを開かせようとするメールには要注意です。たとえば、無害なメールのやり取りで従業員を油断させてから不正ファイルを送りつけてくることもあります。1通目にパスワード付きの圧縮ファイルを送りつけ、2通目にパスワードを記載するなど、ビジネスの慣習に則ることでメールの信ぴょう性を高める手口も確認されています。
「普段メールをしてこない相手から唐突なメールを受け取った」「いつものメールと言葉遣いが違う」など、何らかの違和感を覚えるメールを受け取ったら、メール以外の手段で事実確認をしましょう。メールの真偽を判断できない場合は、所属先のセキュリティ管理者に通報してください。
4. システム管理者からシステムアップデートの通達が届いたらすぐに対応する
パソコンやスマートフォンなどのOSおよびソフト(アプリケーション)の脆弱性(セキュリティ上の欠陥)を悪用した攻撃への対策は不可欠です。脆弱性が存在するパソコンやスマートフォンなどは、ウイルス感染や不正操作のリスクが高まります。OSやソフトの開発元からアップデート通知が届いたら更新プログラムを適用し、脆弱性を修正するのが基本です。ただし、企業によってはシステム管理者が更新プログラム適用による社内システムへの影響を検証し、その緊急性や安全性を確認してからアップデートのタイミングを従業員に指示することもあります。OSやソフトに更新プログラムを適用するタイミングについては勤務先の規定に従いましょう。
5. 業務用端末でのセキュリティ製品の利用
上記4つの対策に加え、業務で使用するPC、スマートフォン、タブレットなどの端末にはセキュリティ管理者の定めるセキュリティ製品をインストールし、サイバー攻撃を防ぐ対策を強化しましょう。また、個人所有の端末を業務用として利用することが許可されている組織では、より一層の配慮を心がけましょう。
