事例で学ぶセキュリティインシデント（第4回）メール攻撃を防ぐための原則は「不審な添付ファイルは開かない」

　ビジネスに欠かせないメールを悪用し、特定の企業・組織の機密情報を盗み取る標的型メール攻撃。攻撃者は盗み取った機密情報や知的財産を第三者に転売するなど、金銭を目的に巧妙に攻撃を仕掛けるため、狙われた企業は被害に遭いやすいとされる。

　主な手口は、メールの本文や添付ファイルに記載した悪意のあるWebサイトに誘導してウイルスに感染させたり、ウイルスを埋め込んだ添付ファイルを開かせて感染させたりするなど。例えば、D社の取引先のように実在する企業名を名乗り、「新規物件のご案内」といった業務に関係するタイトルのメールが送られた場合、受信者は何の疑いもなく、メールの添付ファイルを開いたり、リンクをクリックしたりすることは十分に考えられる。

　ウイルスに感染すると、メールのアカウント情報などが盗まれ、感染被害が拡大する懸念がある。「わが社に攻撃者の標的になるように機密情報はない」という経営者もいるかもしれない。だが、攻撃者は盗み取ったメールアカウントなどの情報を悪用して取引先の企業に攻撃を仕掛けるなど、「踏み台」になる恐れもある。標的型メール攻撃の中には、正規のメールの返信を装い、攻撃する手口もある。攻撃者は実在するメールの送信相手の氏名やメールの内容を悪用するので、受信者は疑いもなく不正な添付ファイルを開いて感染する危険性がある。

　D社の支店では賃貸マンションなどの物件の契約時に交わした個人情報をパソコンに保管している。IT担当者が調べたところ、幸いにも標的型メール攻撃の実害はなかったが、万一、個人情報が盗まれた場合、どうなるか。改正個人情報保護法では、不正アクセスにより個人データが漏えいした場合など、個人情報保護委員会への報告や本人への通知が義務となった(2022年4月から)。顧客は個人情報取扱事業者に対し、自身の個人情報の利用停止や消去などの請求がしやすくなる一方、企業は不正アクセスなどで個人情報を盗まれた場合、信用失墜やビジネス機会の逸失は免れないだろう。

標的型メール攻撃に効果的な多層防御

　標的型サイバー攻撃は、攻撃者の目的である機密情報を盗み取るまで、いくつもの段階を踏んで攻撃を仕掛けるのが常とう手段だ。まず、標的とする企業・組織に実在する人のメールアドレスなどを調べ、メール攻撃の準備をする。次に企業・組織に偽のメールを送り、受信者のパソコンにウイルス感染させる。

　そして、社内ネットワーク上のパソコンやサーバーにウイルス感染を広げたり、攻撃者が遠隔操作するためのID、パスワードを不正に入手したりして目的の機密情報を盗み取る。最終的には攻撃者の元に機密情報を送信するなど、いくつもの段階を踏んで目的を達成させる。そこで、防御策としては、攻撃の入り口から出口までさまざまな対策を組み合わせる「多層防御」が効果的だ。

　D社のIT担当者は、今回の標的型メール攻撃未遂のインシデントを経営者に報告するとともに、支店の契約社員を含め、全従業員に事案の経緯を説明した上でセキュリティ対策を強化した。具体的には、悪意のあるメールやWeb通信などを社内ネットワークの出入り口で多層的に防御するUTM(統合脅威管理)を導入し、不正な通信を検知・ブロックする仕組みにした。加えて、従業員のパソコンにもウイルス対策ソフトを導入し、エンドポイントセキュリティを強化した。

　標的型メール攻撃は、システム的な防御策だけでなく、人的な対策も必要になる。D社ではこれまでも不審なメールを受信した場合、本社のIT担当者に知らせるよう通達していたが、さらに徹底するために標的型メール攻撃を疑似体験する訓練を定期的に実施することにした。不審なメールは安易に開かないようにするだけでなく、万一、開いてしまった場合、IT担当者に直ちに連絡。IT担当者は管理職と経営者に報告して必要な対応策を講じるなど、インシデント対応の手順をルール化した。

　また、本社・支店のパソコンに保管していた物件の契約情報や個人情報はセキュリティ対策が整ったクラウドストレージを活用し、安全なデータ保管とともに本社・支店で情報を共有できる仕組みに変更した。このようにD社では標的型メール攻撃未遂を契機に自社のセキュリティ対策、情報管理のあり方を見直している。