全6069文字

 日々進化、巧妙化するフィッシング詐欺、ビジネスメール詐欺、ランサムウエア……。錯誤を狙ったわなや理解不足による失敗に陥らないためのネットセキュリティー常識講座です。自分だけでなく、会社や取引企業、人脈を傷つけないための常識、ソリューション力を身につけよう。

※連載の一覧はこちら

桜井敏昭(日経ビジネス)前回はフィッシング詐欺について取り上げましたが、今回は「標的型ウイルス攻撃」についてです。業務を装ったメールなどで、ウイルス(マルウエア)を感染させ、企業や組織が持つ情報を盗み出すようです。

 2016年、大手旅行会社のJTBや15年の日本年金機構で起きた事件が有名です。前者は678万8443人分の個人情報が盗まれた可能性があるとされ、後者では125万件の年金情報が漏洩したとされています。標的型ウイルス攻撃の目的は何なんでしょう。

個人情報だけでなく機密情報も狙われている

辻伸弘(セキュリティリサーチャー):一般に、「標的型ウイルス攻撃」は企業や組織が保有している個人情報が目当てと思われがちですし、そちらにフォーカスされる報道も多いように思います。しかし、私は攻撃者の狙いは、不特定多数の個人情報だけではないと考えています。あえて言えば、個人情報は“ついで”の場合もあって、本当に狙っているのは企業や組織の機密文書や情報である可能性も考えられます。技術文書やプラントの設計書、官公庁の外交文書やメールといった情報などが標的になり得ます。

 そうしたものが漏れたという標的型ウイルス攻撃の事件はあまり報道されていません。それは攻撃を受けた企業や組織が、公にしていない、または、そもそも気づいていないという場合もあると私は考えています。

 個人情報が漏洩した場合、法律で報告する義務が定められているので、公にならざるを得ません。しかし、個人情報以外の情報が漏洩しても報告する義務はありません。被害届を出せば明らかになりますが、届けを出すかどうかは企業の判断に任されています。表に出ない、ニュースにならないところで、標的型ウイルス攻撃による被害は起きていると考えた方がよいでしょう。

桜井:私はフィッシング詐欺などと同じく、盗んだ個人情報を使って物品を購入するなどして、換金するのが目的とばかり思っていました。

:標的型ウイルス攻撃の攻撃者は、国やそれに準ずる組織が関わっている可能性があります。JTBの事件の場合、大量の個人情報が漏れていますが、当時JTBは伊勢志摩サミットに関する情報を取り扱っていました。要人の移動や行動に関する情報が狙われたと考えることもできます。この件については私のブログでまとめているので、参考にしてください。個人情報を盗むのは、一種の陽動作戦ということも考えられます。被害企業や組織が個人情報漏洩の対応に追われて、通常の監視体制が弱まったり、調査に時間を要したり、人手がかけられなくなったりするのを狙うということです。

したたかな手口でウイルスを感染させる

桜井:ウイルスを感染させるという点では、個人を対象としたフィッシング詐欺と手口が似ているように思えます。フィッシングと同様の心構えや対策でよいのでしょうか。

:フィッシング詐欺については前回の記事で、(1)送られてきたメールやショートメッセージ(SMS)に書かれているリンク先には行かない、(2)リンク先の偽サイトに行っても、認証情報、課金情報は入力しない、(3)リンク先から不正なアプリケーションをダウンロード、インストールしないということをお話ししました。

 これらの対策は標的型ウイルス攻撃にもそれなりに効果はあります。 しかし、標的型ウイルス攻撃では、ことはそう単純ではありません。企業や組織に悪意を持ったウイルスをインストールさせるためにしたたかな手法を取ってきます。よく、「不審なメールに添付されたファイルは開かないように」と注意喚起されます。しかし、これだけでは曖昧過ぎます。また、そうした添付ファイルを開かざるを得ない業務に携わっている部署や担当者の方々もいます。

 例えば、業務上関係のある企業などからの問い合わせ窓口や、一般の人に開かれた広報的な部署が狙われます。不特定な企業や人から連絡を受ける部署です。就職の窓口になるような部署では、履歴書などを添付してメールが送られてくれば、開いてしまう可能性があります。JTBの事件の場合は、代理店のふりをして、メールに航空券のeチケットを添付したかのように見せかけました。そのチケットが本当に予約されているか確認してくれというものです。ファイルは圧縮されており、担当者はそれを開いてしまったわけです。