サイバー攻撃(その5)標的型攻撃
特定の会社や組織を攻撃対象(標的)にして、最終的には機密情報の入手・破壊や、会社や組織に大きな損害を与えることを目的とした攻撃があります。
特定の会社や組織に送信する電子メールを悪用する標的型攻撃メールがあり、次のような特徴があります。
- マルウェア感染:差出人を取引先や知人のように偽装してメールを送信し、マルウェア感染する添付ファイルを実行させたり、偽のリンク先でマルウェア感染するサイトに誘導したりします。
- フィッシング:実在する会社などを装ったメールを送信して、偽のサイトに誘導して個人情報や機密情報などを騙し取る攻撃です。
また、人間の心理的な弱さを利用したソーシャルエンジニアリングという、次のような不正行為もあります。
- 緊急、非常事態などを装い混乱させ誘導して、情報を入手する
- 取引先や知人になりすまし聞き出して、情報を入手する
- 肩越しなどから情報を覗き見(盗み見)して、情報を入手する(ショルダーハック)
- 廃棄された紙ゴミなどを収集して、情報を入手する(スカベジング)
昨今では、機密情報の入手だけではなく、会社や組織の経理担当者に近づき、取引先を装って偽の口座へ送金させるような巧妙な手口も横行しているようです。
マイノート(これまでの私の体験・見聞から一言)
標的型の攻撃に対しては、技術的な対策だけでは十分ではありません。
攻撃された会社や組織に属している個人が、偽装されたメールやサイトを信用してしまえば、防ぎようがありません。そのために、これらの攻撃に対してはユーザへの啓蒙活動が重要です。怪しいメールやサイトに対してはすぐにアクセスをせずに、真偽を確認してから対応するようにすることが必要です。しかし、何をもって本物か偽物かを確認するかは容易ではないので、例えばメールのリンクのURLやサイトのドメイン名を確認したりするなどの具体例を挙げて説明しないと、なかなか判断ができるものではありません。
私の会社でも、これらの攻撃への対策として社員全員にEラーニングの受講を必須にしており、定期的に受講することが求められています。しかしながら、これくらい徹底的に啓蒙活動をしても、すべての攻撃を防ぐことができずに、ときどき被害の報告がされています。
今後は技術的な攻撃だけではなく、このようなソーシャルエンジニアリング的な攻撃で大きな被害を生む可能性があると思われます。
