いまやITは企業経営と切っても切れない関係にある。しかし便利な半面、セキュリティーに気を付けないと思わぬ代償を払うことにもなりかねない。社内情報の窃取を狙った「サイバー攻撃」から身を守るためにも、情報セキュリティー対策は重要な課題となっている。

「お客さまのクレジットカード情報を流出させてしまった……」。そう言って、がっくりと肩を落とすのは、ネット通販サイトを運営するAさん。パソコンにインストールしたアプリケーションの脆弱(ぜいじやく)性をつかれ、外部からの不正アクセスを許してしまった。

 こうした特定の企業・組織に対し、機密情報の窃取やシステムの破壊などを目的とした一連の攻撃を「標的型サイバー攻撃」と呼ぶ。ネットワークに侵入した遠隔操作ウイルスが外部の攻撃者の指令を受けながら、サーバーやパソコンにある機密情報を収集。それを外部に送信するといった流れで情報が盗み出される。

 冒頭のAさんの場合は、アプリケーションの脆弱性(セキュリティホール)が入り口となって、知らず知らずのうちに外部に大事な情報を持ち出されてしまったケースだが、ほかにも複数の手口がある。

「なかでも最近、事件報道が多くなっているのが『標的型攻撃メール』を介した社内ネットワークへの侵入です。添付ファイルを開封したり、本文のリンク先にアクセスするとウイルスに感染します」と、独立行政法人情報処理推進機構(IPA)の土屋正氏は話す。

 標的型攻撃メールが怖いのは、受信者に不審に思われないような偽装工作が幾重にも施されているところ。そう簡単には偽メールと見破ることができないのである。不特定多数に送られる、いわゆる「迷惑メール」とは根本的に性質が異なるのだ。

中小企業が〝踏み台〟に

 標的型攻撃メールの存在を一躍世間に広めたのが、今年6月に発生した日本年金機構の個人情報流出事件だ。約125万件の個人情報を外部に流出させてしまったという。標的型攻撃メールには、あの手この手の「だましのテクニック」が盛り込まれている。メールの「差出人」が実在する組織・人物をかたったものだったり、「件名」や「本文」についても実際の取引を装ったまるで不審さを感じさせないものだったりと、とにかく巧妙な偽装工作が施されている。これに日本年金機構の職員も完全にだまされた。

「ある事例では、攻撃者は最初にセミナーについて問い合わせしたいと相談を持ちかけ、その了承を得たうえでウイルス付きの質問書を送付していました。こうした『やり取り型攻撃』は、業務として問い合わせに対応せざるを得ない立場(窓口業務等)につけ込んだ手口であり、非常にタチが悪いといえます」(土屋氏)

 もちろん情報セキュリティーにそれなりに感度の高い人であれば、送られてきたのが標的型攻撃メールであることを多少なりとも見破ることができるかもしれない。添付ファイルのアイコンがWord等の文書ファイルのものであるにもかかわらず拡張子がなぜか実行形式ファイル(.exeなど)になっていたりしたら要注意といった具合に、見分け方のポイントがいくつかあるのだ(詳しくは『戦略経営者』2015年10月号P14~を参照)。しかし忙しい業務の最中、一つひとつのメールをそんな細かいところまで注意して見られる従業員がいったいどれだけいるだろうか。だからと言うわけではないが、大企業や官公庁などが標的型攻撃メールの被害にあうケースが続出している。そして、中小企業もまたターゲットとして〝ロックオン〟されていることを忘れてはならないだろう。

「なかには『うちには盗まれるような大した情報などない』『これまでサイバー攻撃に狙われたことは一度もない』といった理屈で情報セキュリティー対策を蔑(ないがし)ろにしている中小企業経営者もいるかもしれません。しかしそんな誤解は今すぐ改めてください」

 そう語るのは、トレンドマイクロの上級セキュリティエバンジェリスト・染谷征良氏。どの会社でも個人情報を保有しているため標的になり得るし、加えて情報窃取の本命である大企業を狙うにあたっての前段階として、大企業の関連子会社や取引先の中小企業が狙われることも少なくない。まずはガードが手薄な中小企業に遠隔操作ウイルスを感染させて、大企業との取引内容や担当者名などの情報を外部に送信。それをもとに巧妙な偽メールを作って、大企業のネットワークに侵入する。つまり、中小企業を〝踏み台〟にして大企業の機密情報を盗み出すわけだ。

 この場合、中小企業に直接の実害はないかもしれない。しかしサイバー攻撃の片棒を担ぐことになるのは事実だし、取引先の大企業から「あそこは情報セキュリティー対策がしっかりできていない企業だ」と信頼を損なうおそれもある。

「実害は防ぐ」の防衛対策

 では、標的型サイバー攻撃から会社を守るためには、どんな対策が求められるのだろうか。IPAの土屋氏と、トレンドマイクロの染谷氏がともに言うのが、つぎの3つの対策である。

①入口対策
②出口対策
③内部対策

 ①入口対策とは文字どおり、社内のネットワークにウイルス等が侵入しないようにするための入り口(初期侵入段階)での対策のこと。たとえばウイルス対策ソフト、ファイアウオール、悪性サイトフィルターを導入することもそうだし、OSやアプリケーションを常に最新版にアップデートして脆弱性を解消する(セキュリティーホールにパッチを当てる)ようにすることなどが、これに該当する。要は、「脅威を入れない」という思想からの対策である。

 ただ昨今の標的型攻撃メールは、標的とする会社ごとにオリジナルの遠隔操作ウイルスを作成していると言われており、一般的なウイルス対策ソフトでは検知されないような工夫がなされている。「ウイルス対策ソフトはいわば『指名手配中の犯人』を捕まえるためのもの。まだ指名手配されていない犯人を捕まえるのは難しいといえます」(土屋氏)。こうしたことから入口対策をいとも簡単にすり抜けてしまう可能性があるのだ。

 そこで求められるのが、「脅威は入っても、実害は防ぐ思想」(染谷氏)である。これがすなわち②出口対策と③内部対策だ。

 出口対策(同P11・図2)とは要するに、外部からの「のぞき見」および情報持ち出し段階での防止対策のこと。攻撃者側の遠隔操作用サーバーとの通信をブロックすることで情報の流出を防ぐ。

 一方、内部対策(同P11・図3)は、ネットワーク内部で悪さを働くウイルスの動きを封じるための対策である。「重要な情報が格納されたサーバーへのログインエラーが多い」「社内にある他のパソコンのパスワードを取得しようとしている」「遠隔からプログラムを送り込もうとしている」などの不審な通信が確認された場合、管理者に通知したり該当のパソコンを隔離するといった措置をとる。

 出口対策も内部対策も技術的に決して難しいものではなく、サーバーの設定を変更するとか、専用の「監視製品」を使うことでわりと簡単に行える。「また、標的型メール攻撃に対応した新しいタイプのセキュリティー製品も出てきているので、入口対策の一環としてそれらを利用するのもよいでしょう。仮想環境(サンドボックス)での〝振る舞い分析〟によって不正なウイルスかどうかを判別するものなどがあります」(染谷氏)。

経営者のリスク認識

 最近は、標的の企業がよく利用するウェブサイトを改ざんし、遠隔操作ウイルスを持ち帰らせる「水飲み場型攻撃」の手口も増えている。これも標的型攻撃メールと同様に、ウイルスに感染してもなかなか気付きづらいのが厄介なところだ。こうした手口に対しても①~③の対策は有効である。また、IPAが毎年発表している「情報セキュリティ10大脅威」(同P12・図4)にあがっているようなリスクを軽減するうえでも、これらの対策に力を入れることは企業にとって重要となる。

 サイバー攻撃による被害をどれだけ最小限に抑えられるかどうかは、経営者がどれだけその脅威を認識しているかに左右される。まずは社長自身がしっかりとリスクを認識し、十分な情報セキュリティー対策を講じることがのぞまれているのは確かだろう。

(本誌・吉田茂司)

掲載:『戦略経営者』2015年10月号