東大職員も騙された！心理の隙を突いたサイバー攻撃

posted by 廉宗淳

　コンピューターウイルスをはじめとしたサイバー攻撃による被害は年々拡大し、2015年に警察が連携事業者等から報告を受けた標的型メール攻撃は2014年の1723件から急増し、3828件もありました。しかも、昨今はウイルスをはじめ、様々な手法で企業の情報を盗み出そうとしているのが特徴です。加えて、特定の企業を狙った「標的型」が主流となっています。ここでは、過去の事例からサイバー攻撃の傾向を見て、攻撃から守る対策を考えてみましょう。

事例1：メールの添付ファイルによる攻撃＝東京大学の場合

　2015年10月、東京大学の管理用パソコンがマルウェア(※ウイルス、ワームなどの悪質なソフトやコードの総称)に感染しました。感染のきっかけは、東京大学職員がマルウェアに感染したメールの添付ファイルを開いたことによります。これにより、メールサーバーなどに保存されていた個人情報約3万6000件が不正アクセスにより流出されたとされます。不正が発見されたのは、メールを管理する画面が変更されていたのに気付いたことから。もし、管理画面の変更が巧妙であり、一見しただけではわからないようにされていたら、被害はさらに拡大したでしょう。記憶に新しい同年6月の日本年金機構の情報漏えい事件もこれと同様に、不用意にメールの添付ファイルを開いたことによります。

　事件が起きたのは添付ファイルを不用意に開いたことに加えて、ウイルス対策ソフトなどきちんと入れていなかったからだと思われがちですが、それがすべてではありません。

　ウイルス対策ソフトがインストールしてあっても、最新のパターンファイルでなかったり、パターンファイル自体が出現したばかりのウイルスに未対応だったりすると機能しません。また、不審なメールはYahoo!やGoogleなどのフリーメールアドレスを使っているので、アドレスをきちんと確認すればいいというのも不十分です。なぜなら、発信者（FROM情報）を偽装することができるからです。

　下記の図のように、標的型攻撃メールはアドレスを偽装し、業務メールを装っています。また、巧妙な文章で添付ファイルを開くよう誘導しているのです。

　ウイルス対策ソフトや発信者情報から悪質メールだと判断できなければ、お手上げです。

　では、メールによる被害を防ぐためにはどうしたらいいのでしょう？　いちばんの対策は従業員教育です。被害に遭う可能性を少しでも下げるため、会社内で標的型メール攻撃の手口を具体的に周知させ、注意喚起することが必要です。そのためには、疑似ウイルスメールを使った標的型攻撃メール訓練プログラムなどを利用することがいいとされています。そのほか、フリーメールからの送信をフィルタリングするなどの対策もあります。

事例2：サイト閲覧者がウイルスに感染＝大手出版社の場合

　2014年1月、大手出版社のサイトが不正アクセスを受け、不正プログラムが書き込まれました。このサイトを閲覧すると、プログラムが自動的に実行され、被害に遭うというものです。また、同年2月にも観光バス会社のウェブページが改ざんされ、やはり閲覧者がウイルスに感染する恐れがあると発表されました。JPCERT/CC（一般社団法人 JPCERT コーディネーションセンター）には、毎月400件前後のこの手の被害報告が寄せられます。しかし、報告していない企業や不正アクセスに気付いていない企業などがあり、この数字は氷山の一角といっても過言ではないでしょう。

　ウェブサイトが改ざんされる原因は多くの場合、サーバーで使用されているソフトウェアが古いままで、その脆弱性を突かれることだといわれています。

　サイトが改ざんされただけなら被害は自社内だけにとどまりますが、不正プログラムを埋め込まれて閲覧者がウイルスに感染、個人情報を盗み出される事態が生じると、サイトを公開している企業の責任も問われかねません。ソフトウェアなどの更新を怠っていたと見なされれば、重大な過失とされ、損害賠償を負わされる可能性もあります。

　一般にウェブ制作者は、デザインや操作性などには長けていますが、ウェブセキュリティに関しては疎いことが多いものです。また、ウェブ制作者にセキュリティ対策を求めるのは酷です。ウェブが改ざんされないようにするには、プロの目で24時間365日、絶え間なく監視しなくてはなりません。しかし、中小規模の会社が、自社でこれを構築するのには無理があります。万が一の保険としても、ウェブ管理をプロのベンダーに任せることをおすすめします。前述の大手出版社の場合も、セキュリティ対策をアウトソーシングしていたベンダーにより改ざんが発見され、大きな被害を防ぐことができました。

事例3：企業のシステムや情報が「人質」に＝アメリカの病院の場合

　2016年2月、アメリカ・カリフォルニア州の病院がランサムウェア（※ユーザーのデータを「人質」に、データの回復のために「身代金」（ransom）を要求するソフトウェア）の被害に遭い、システムがダウン。病院としての業務遂行が不可能となり、救急患者を他の病院に転院させるなどの措置をとらざるを得なくなりました。その後もシステム復旧のめどは立たず、同病院は一刻も早く病院としての機能を回復するため、犯人の要求に応じ、身代金を払ったのです。

　ランサムウェアによる被害は、法人、個人を問わず広がっています。身代金を支払っても、現状復帰ができるとは限らず、一度感染してしまったら多くの出費を覚悟しなくてはいけません。

　対策としては、ウイルス対策やウェブ不正アクセス対策を施すことに加え、データのバックアップをこまめにとることでしょう。そうすれば、たとえランサムウェアにIT機器が乗っ取られたとしても、バックアップデータから復元できます。これには、クラウドでのデータバックアップサービスなどが最適でしょう。

セキュリティの隙を極力作らないのが最大の防御

　これらの被害に遭わないようにするために、最初に行いたいのが前述したような従業員教育です。メールセキュリティ診断やセキュリティに関するeラーニングで、従業員のセキュリティに対する意識を測定でき、改善できます。

　加えて、データを漏えいしないICT環境を構築することです。従来からあるウイルス対策ソフトはクラウドベースの、常に最新のパターンファイルが用意されているものに変更する、またネットワークやパソコンなどの機器を統合的に保護するUTMのような装置を導入することなどが考えられます。セキュリティ対策は単独の中小の企業ではなかなか完璧に実現できないものなので、専門のセキュリティ対策ベンダーと相談するのもいいでしょう。

　この会社はセキュリティ対策をしっかりやっていると思われることも大事です。一分の隙も作らないのは不可能かもしれませんが、意識を高め、攻撃者に狙われないような企業とするのも大切です。

連載記事一覧

第2回ばらまき型メールによるウイルス感染に注意 2016.02.01 (Mon)
第4回どこが変わったの？いまどきの無線LAN事情（前編） 2016.02.19 (Fri)
第5回どこが変わったの？いまどきの無線LAN事情（後編） 2016.02.29 (Mon)
第8回 FAX複合機に注意！内部データが丸見えに!? 2016.04.08 (Fri)
第10回デジタルサイネージで“おもてなし”（前編） 2016.05.23 (Mon)
第11回デジタルサイネージで“おもてなし”（後編） 2016.05.30 (Mon)
第12回東大職員も騙された！心理の隙を突いたサイバー攻撃 2016.06.03 (Fri)
第13回起きる前に芽を摘む！内部不正とヒューマンエラー 2016.06.17 (Fri)
第14回せっかく育成したセキュリティ担当が、転職!? 2016.07.15 (Fri)
第15回すぐにしないと命取り!？事例で見るセキュリティ対策 2016.07.15 (Fri)
第20回社内に溜まった紙資料の問題を「電子化」で解決！ 2016.10.21 (Fri)
第22回面倒なマニュアル作成もクラウドで解決！？ 2016.10.28 (Fri)
第23回クラウド化のメリットはコスト削減だけではない！ 2016.11.29 (Tue)
第24回夜間の回線トラブルがもたらし得る大きな損害 2016.12.02 (Fri)
第25回データとIT資産の管理はアウトソーシングすべし 2017.03.06 (Mon)
第26回会話するロボットを自社スタッフとして活用する方法 2017.03.28 (Tue)
第27回システム管理者も“クラウドに置く”時代！？ 2017.04.28 (Fri)
第28回社内から「繋がらない」の声をなくす、VPNを検討してみる 2017.05.12 (Fri)
第29回ランサムウェアの脅威に備える最適な方法とは？ 2017.05.25 (Thu)
第30回社内にネットワーク管理者は不要の時代！？ 2017.05.26 (Fri)
第31回 VPNってなに？今さら聞けないVPNはじめの一歩 2018.02.22 (Thu)
第32回拠点間同士を結ぶネットワーク、今はVPNがトレンド 2018.02.23 (Fri)
第33回ネットワーク監視も24時間サービスが最適な理由 2018.02.28 (Wed)
第34回セキュリティ人材の争奪戦勃発！企業は何をすべき？ 2018.03.22 (Thu)
第35回今からでもまだ間に合う! ICT管理者探しはお早めに! 2018.03.28 (Wed)
第36回押し寄せるデータの波は、NASでは乗りこなせない! 2018.03.30 (Fri)
第37回専門知識は必要なし!今どきのホームページ制作事情 2019.01.10 (Thu)
第39回初診の「オンライン診療」解禁、対応病院は1万件に 2020.06.12 (Fri)
第40回コロナでも急成長、「サブスク」で継続利益を確保する 2020.08.05 (Wed)
第41回知らないと損！新たな顧客体験「OMO」で売上UP 2020.12.23 (Wed)
第42回こんなAI／IoTの導入は失敗する！重要なのは顧客視点 2020.12.23 (Wed)
第43回売れないスルメにも意味がある！チャンス発見学とは 2020.12.23 (Wed)
第44回離島や薬局で導入・実証進む、オンライン診療のいま 2021.02.19 (Fri)
第45回ビジネスチャット。安全・手軽なコミュニケーション 2021.04.30 (Fri)
第46回並ばず買い物OK、コロナ禍で需要伸びる無人店舗 2021.06.03 (Thu)
第47回地方創生のカギ、どこでも受講できる「ネット大学」 2021.06.03 (Thu)
第48回薬局DXのいま、ロボット活用やドローン配送なども 2021.06.15 (Tue)
第49回建設業の人件費を約4割削減も、進むi-Construction 2021.06.15 (Tue)
第50回「言葉の壁はなくなる？」NICT隅田氏に聞く 2021.07.01 (Thu)
第51回全労働人口の8割を占める、デスクレスワーカーのDX改革 2022.11.15 (Tue)
第52回高齢者のデジタルデバイド問題に立ち向かう自治体・企業のいま 2022.11.15 (Tue)
第53回 AIやビッグデータ活用も、進化し続けるデジタルサイネージ2022.12.21 (Wed)
第54回コスト削減やデータ活用に期待、電子レシートの可能性2022.12.21 (Wed)
第55回「お絵描きAI」のビジネス活用の可能性と課題とは2022.12.21 (Wed)
第56回 AI採点や新スポーツも、スポーツテックとは何か 2022.12.21 (Wed)
第59回「ベビーテック」は少子化対策の切り札になるか？2023.03.06 (Mon)
第60回研究現場もDX！ラボラトリーオートメーションとは2023.04.28 (Fri)
第61回人生100年時代のファイナンシャル・インクルージョン2023.05.16 (Tue)
第62回その通信機器、実は違法かも！？「技適マーク」の重要性2024.01.17 (Wed)
第57回 Z世代の心をつかむ「メタバース採用」とは2023.01.30 (Mon)
第58回医療・健康ビッグデータ「PHR」はビジネスチャンスとなり得るか2023.01.30 (Mon)

廉宗淳
【記事監修】

1962年ソウル市生まれ。イーコーポレーションドットジェーピー代表取締役社長。1997年にITコンサルティング会社、イーコーポレーションドットジェーピー(株)を設立、代表取締役に就任。青森市情報政策調整監（CIO補佐官）、佐賀県統括本部情報課情報企画監を歴任。主な著書に『電子政府のシナリオ』（時事通信社、2003年）、『行政改革に導く、電子政府・電子自治体への戦略』（時事通信社、2009年）など。