ここから本文です

新人必見! 知ってる人もあらためておさらい! 情報セキュリティについて知っておきたいこと(その3)

5/23(火) 11:39配信

ITmedia エンタープライズ

 日常生活の中にも、情報セキュリティ上気を付けなくてはいけないこと、注意すべきことはたくさんある。普段何気なくしている行動が、情報漏えいにつながることもあるのだ。特に社会人になりたての人は、この記事を読んで、あらためて自分の行動を振り返ってみてほしい。

【個人やその家族も攻撃の対象になる】

 前回は、プライベートではそれほど悪くないことでも、企業内ではリスクになり得るというケースを紹介したが、今回はサイバー攻撃やネット上の詐欺行為などに対する心構えをお伝えしたい。

●10.怪しいメールはすぐ分かる 怪しくないメールに注意が必要

 筆者は、メールをきっかけにして攻撃を受けたり、情報漏洩事故に至った企業をいくつか知っている。そして有料セミナーでは、6年ほど前から「怪しいメールより怪しくないメールが怖い」と解説している。

 世間ではいわゆる「怪しいメール」を発見する方法が、多くのサイトで解説されている。IPA(情報処理推進機構)は、「標的型攻撃メールの例とみわけ方」という資料も用意しており、企業もこれらの情報を基に防衛策を講じている。

 これらは、基本的な学習という面ではとても良い教材だ。しかし、良く考えていただきたい。実際に攻撃をし、これで多額の金銭を搾取する側の立場で考えてみると、こういうところで解説されている(ネタバレされている)方法は回避するだろう。本物の怪しいメールは、その見分け方がとても難しい。いや、正直にお伝えするなら、通常の感覚では、見分けるのは無理だろう。

 実際の攻撃メールは、友人のアドレスを偽称し、本文も友人が書いたかのような文章になっている。企業間のメールでも同じである。先週会議があったのを知っており、その議事録のWordファイルになりすまして送付されて来るのだ。よって、常にミスを犯す可能性のある人間が、日進月歩で進化している、本物そっくりの攻撃メールを見分けることは極めて困難なのである。

 ちょっと前なら文章がおかしかったり、単語の途中にピリオドが入っていたり、中国語にしか利用されない漢字が混じっていたりしていたものだが、今やそういうメールは一部の「万が一だませれば大儲け」程度の意識の団体や、真の攻撃メールを発見されにくくするためのおとりメールでしかない。そんなメールの9割はアダルトメールなのですぐに分かる。

 セキュリティ担当者などが、「怪しいメールは開かないように――」というからこそ、人は来たメールがあやしいかどうかを判断してしまう。なので筆者は、そうではなく「これから開封し、添付ファイルやリンク先を利用するメールのすべて」に対して「細心の注意をはらい、内容を確認し、電話やSNS、LINEなどで真偽を確認できるなら、きちんと確認してから開いてほしい」と伝えている。

 中には、不審なメールを開封して、万一被害に遭ってしまった場合には、減給や降格などのペナルティを課す場合もある、と就業規則を変更している会社もある。こんな会社では、「メールは開かないか部下に確認を依頼する」なんていうことをしている人もいる。しかしそこまでするのもどうかと思う。

 最新のセキュリティシステムには、メールサーバやクラウド上にサンドボックスなどの機能を持たせ、実際に添付ファイルを開いて挙動を確認した上で、宛先に届けているものもある(もちろんさらにAIの裏をかき、サンドボックスではおとなしくふるまって、宛先の人が実際に内容を確認するまでは動かないようになっている場合もあるのだが)。

 以前はメールのサムネイルを見ただけでも感染するケースがあったが、今はもうそういうことははまずないので、実際にはメール自体は開き、内容を確認して、リンク先はまずツールでその安全性を確認し、変なサイトに飛ばされることがない様にするのがいい。添付ファイルがあったら、事前に差出人に連絡して、確認後に開封することを勧めたい。どうしても不安なら、IT部門に安全性を確認を依頼すればいいだろう。その事で罰せられることはない。

●11.サイバー攻撃は自分や家族も狙われる

 昨今メディアでも騒がれている「WannaCry」のような、身代金を要求するランサムウェアなどによるサイバー攻撃は、大企業が狙われるだけで、自分には関係ないと思っていないだろうか。だとしたら、それは大きな誤解だ。

 これはメディアが偏った報道をしてきた責任もあるのだが、個人情報や機密情報を盗むようなサイバー攻撃を仕掛ける対象は、超大手企業だけとは限らない。また、自宅のPCや、個人所有のスマートフォンなどは関係がないと思っているとしたら、その考えは改めてもらいたい。

 サイバー攻撃を仕掛ける側は、最終的に企業に保存されている個人情報などにたどりつくために、まずは防御が手薄なところや、厳重に警戒されていないところに足がかりを作り、本丸まで攻めていく。つまり、目的とする企業の管理者権限を持つA氏のアカウントに侵入するため、手始めにその会社の新人のPCを攻撃してみたり、A氏の同僚であるB氏のPC、あるいはそのB氏の大学生の息子が使っているPCなどから侵入を試みたりすることだってあるのだ。

 PCを乗っ取られたりしたら、その人は被害者になるだけでなく、サイバー攻撃の加害者にもなり得てしまう。だから主婦、学生でも、関係ないということはないのだ。

●12.ウイルス対策ソフトには有効期限がある

 随分昔のことだが、筆者の恩師(大学教授)が正月に電話をしてきたことがある。「ウイルスに感染したようだから、緊急に対応してほしい」というのだ。普通の人なら電話対応で十分な内容だったが、自分の専門分野以外は本当に“世間知らず”な先生だったので、電話で話すより実際にその場に行った方がはるかに簡単に済むと考え、すぐに駆け付けた。

 正月から営業している家電量販店で、最新のウイルス対策ソフトを購入して行き、いざインストールしようとしたら、先生は「いや、これはすでに入っているよ」という。そこでよくよく見てみると、1年間だけ有効なライセンスものがインストールされていた。――だが、PCは2年半前に購入されたものだ。

 先生との会話を中断し、無理やりウイルス対策ソフトをインストールしてフルスキャンをしてみたところ、出てくる、出てくる。400以上のファイルが、100以上ものウイルスに感染していたのであった。ステルスタイプのウイルスは当時まだほとんどなかったので、HDDごと交換するほどではないと判断した。

 そしてその先生には、ソフトウェアというものは、一度購入したら持ち主が不要と判断するまで好きなだけ利用できるものばかりではないことや、もともと先生のPCに入っていたウイルス対策ソフトの場合、自分のPC 1台に1年間だけ利用が許可されていたことなどを説明し、理解してもらうのに2時間ほどの時間を要してしまったのである。

 最近は契約更新や継続料が不要な製品もあるが、ことウイルス対策ソフトは、定期的な更新が必要なこともあり、最新バージョンへのアップデートや一定期間ごとの契約更新が重要であることは覚えておいてほしい。

●13.大量の「いいね!」は店の信用とは関係ない

 ネットを検索していたら、あるECサイトで、欲しかった商品が通常の7割引きで販売されていた、なんていうことがたまにある。しかし、例えその通販サイトにFacebookの「いいね!」が2000以上付いていたりしても、安易に信用してはいけない。

 あまり聞き覚えのない通販サイトで購入しない、というのは1つの自衛策で、初めて利用するECサイトは注意が必要だという認識を持っている人は多いだろう。しかし、ユーザーの評価が高かったりすると、つい自分に都合のいいように解釈し、安心してしまうことがあるかもしれない。しかし、Facebookの「いいね!」は売買の対象になっており、数千のいいね!は容易に購入できる。

 そのECサイトも、しばらく時間を置いて見てみたらアクセスできなくなっていた、なんていうこともありうる。通信販売では、特定商取引法にのっとって、事業者の名称や氏名、住所、電話番号などを表示することが義務付けられているので、その住所が実在するのか、すでに詐欺に利用されているといった情報がないか、Google マップやネットで検索するといったこともするべきだろう。

 いかがだっただろうか。常識と思われることも、あえて書き出してみたが、もし「知らなかった!」ということがあれば、ぜひ認識を改めていただきたい。

●萩原栄幸

日本セキュリティ・マネジメント学会理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。