ITニュース六時五分:子どもでも操作できる標的型メール。防ぐ訓練も必要な時代に。

ITニュース六時五分:子どもでも操作できる標的型メール。防ぐ訓練も必要な時代に。

0605_20141112日本年金機構の情報漏えい事件から、官庁だけでなく、民間企業でも標的型攻撃の対策が重要視されています。セキュリティ会社の中には、抜き打ち検査を行うサービスもあり、企業にとっては、また新たな経費がかかりそうです。

標的型攻撃の典型的な例は、ウィルスの入ったファイルを添付したメールを送ること。難しいテクニックを駆使して、パソコンの前に張り付いてキーボードを叩いているような映画に出てくるシーンはありません。

メール添付で送信するだけですから、子どもでも操作することはできます。もっとも、メール送信は簡単ですが、相手に開かせるには、さまざまなテクニックが使われています。

こういう犯罪には、多くの人が勘違いしているのですが、人とのコミュニケーションが苦手な引きこもりの犯罪者をイメージしているかと思います。しかし、実際の犯罪を行う連中は、ものすごく陽気で、話がうまく、誰とでもすぐに仲良くなれる人も多いのです。

コミュニケーションの達人であることが多く、そこがクセもの。標的型の場合は、ともかく、メールを開封してもらわないといけないので、相手がどのようなメールの文章であれば疑うことなく開封するのか?を熟知しています。そのためには、信じられないほど情報収集を行います。TwitterやFacebookはもちろん、場合によっては取引先や同僚などにも実際に電話をしたり、実際に接触したりして、さまざまな情報を収集します。

最初は、ちょっとした間違い電話だとか、たまたまた喫茶店で隣にいたとか、そんなシチュエーションを装って、接近してきます。しかも、1回や2回の接触ではなく、何か月もかけて、徐々に親しくなっていくのです。よくあるのは、警備員やビルの管理人が狙われるパターン。最初は天候などのなにげない会話から入って、そのビルや会社に出入りしている人の情報をさりげなく聞き出していきます。

そのようなことを繰り返して、組織図を作り上げ、部下や上司の関係、出張の情報などを引き出していきます。そして、周辺の取引先などのセキュリティの甘いところから、ウィルスに感染させて、メールのやりとりの情報を収集していきます。そうすると、どんなタイトルや、どんな内容かが分かってくるので、巧妙になりすましを仕掛けることができるようになります。ある企業では、取引先とのメールを受け取った11時間後に、そっくりの内容の標的型メールが届いたという事例もあります。それぐらい、周囲からの情報収集をして狙ってくるのです。

これを防ぐのは、なかなか容易ではありません。単に技術だけでは、どうにもできない部分で、常に訓練と、定期検査を行うしかありません。ちょっとした油断を突いてくるので、常に、そういうことが起きるという意識をもっておくことが大事になってきています。

本日のニュースネタ

http://www.itmedia.co.jp/news/articles/1507/02/news054.html

「子供でもウイルス作れる」標的型メールの脅威、どう防ぐ? 本番さながら“抜き打ち”訓練も

  • このエントリーをはてなブックマークに追加