不審メールをクリックした被害者をたたくのは簡単だが

　日本年金機構は2015年6月1日、情報システムの内部事務処理のためのネットワークに不正アクセスがあったことを発表した。

　職員一人が不審メールのURLをクリックしたことで、マルウェアがダウンロードされて感染。その後、感染端末1台をネットワークから隔離したり、ウィルス対策ソフトを更新したりと対策をとったものの、職員の共有フォルダに保存していた個人情報の一部が流出し、125万件もの年金番号や個人情報が漏えいした可能性がある。

　さらに同月10日には、東京商工会議所 国際部の事務局員が使用しているPCが標的型メール攻撃によってウイルスに感染し、個人情報1万2139件が流出した可能性があるとの報道があった。

　これらの報道を受けて「ウイルスメールを不用意に開くとは、基本的なセキュリティ対策ができていないのではいか。年金機構は何をやっているんだ」と思った人は少なくないだろう。確かに、個人情報を取り扱う公的機関としてはあってはならない失態だ、と言われてもやむを得ない。

　だが、本当にそうだろうか。日本年金機構や東京商工会議所をかばうわけではないが、まず彼らは被害者であり、本来糾弾すべきは攻撃者、犯罪者である。情報セキュリティインシデントに関しては、ネットを中心にどうも加害者より被害者をたたく風潮がある。

　自分が攻撃を受けたり、ウイルスメールを開いてしまったわけではないため、他人のミスは指摘しやすいからだろうか。だとしたら、自分が被害に遭わない、騙されないという自信の根拠はどこからくるのだろうか。これだけ被害がなくならない攻撃が、自分だけは大丈夫だと考えるのは過信とはいえないか。自戒の意味もこめて、この問題への対策を考えてほしい。

自覚していても、メールを開かなければならない業務もある

　標的型攻撃は年々進化している。ここ数年のトレンドは「やり取り型」と呼ばれるタイプの攻撃だ。

　「やり取り型」の攻撃は、いきなりウイルスやマルウェアメールを送りつけるのではなく、顧客や取引先を装って、標的と実際のメールのやりとりを行う。メールの中で資料、注文書や見積書のやり取りが発生するように仕組まれた手の込んだ攻撃だ。

　さらに高度になると、本当の取引メールを盗聴し、タイミングを見計らって「ご依頼の見積書ができました。」となりすましの攻撃メールを送ることさえ可能だ。

　標的型攻撃への対策として「身に覚えのないメールや不審なメールは開かない」と基本的対策（心構え）が重要だ。しかしこの対策は、部署や業務によってはまったく機能しないことがある。

　たとえば、顧客からの質問や問い合わせに対応するサポート部門の場合、見知らぬ相手のメールや連絡を受けなければ業務にならない。展示会などで広く営業を行ったり、B2Bの調達サイトやマッチングサイトを利用したりという場合、新規の問い合わせなのか標的型攻撃なのかの区別は難しい。

　セキュリティベンダーのラックが提供するサービスに「ITセキュリティ予防接種」というものがある。これは、従業員には知らせずダミーの攻撃メールを送り付け、メール攻撃や標的型攻撃への耐性、警戒心の喚起を促すサービスだ。このサービスを利用したところ、多数の人と接する機会が多い管理職や重役ほど、意識していても攻撃メールを開いてしまったという事例（結果）も報告されている。

【次ページ】「騙されない」ではなく「騙されているかも」