お客様と話する機会が多いのですが、かなりの頻度で聞かれる質問があります。「ところで大西さん。アンチウイルスソフトがはいっているのに、
どうして標的型攻撃でウイルスに感染するんですか?」
セキュリティに関する話をずーっとしていて、一通り話し終えたところでのこの質問。
あー、そうなのかあ、普通の人の理解ってそういうものなんだな、と理解をします。
自分たちが当たり前のようにわかっていて、説明の必要すらないこと、
これだけマスコミで騒がれていたらわかっているでしょうと思っていましたが、
それがこちらの思い込みでした。
こういう質問を何度か受けたので、こちらから知っていますかと聞くようにしました。
社員向けセキュリティ研修でのことです。
100人くらいでしたが、その中で、標的型攻撃の仕組み、
どうしてウイルスに感染するのかを分かっている人は2名でした。
もっと少人数の集まりの会議でも、質問をした結果は、標的型攻撃の名前は全員知っていても、なぜ感染してしまうのかということを知っているひとは0人か1人です。
まだまだ知らない方が大半でしょうから、説明をしましょう。
昔ながらのコンピューターウイルスは、感染すると、
そのウイルスをさらにばらまくといった拡散させて困らせたり、
そのことによる攻撃者の自己顕示欲を満たすものでした。
まさに「感染」してウイルスのように広まっていくので、
コンピューター「ウイルス」と呼ばれました。
この手のウイルスへの対処は、アンチウイルスソフトとか、ワクチンソフトと呼ばれ、
世の中に広まったウイルスの型の情報を、アンチウイルスソフトの会社が
自分のPCに送り込んでくれて、そのウイルスが侵入しようとしたときに、
型が合致するとアンチウイルスソフトがはじく、という仕組みでした。
一方、標的型攻撃の場合、感染して広めることを主目的としておらず、
標的とした組織から情報を奪い取ることを主目的としています。
よって、ウイルスという表現よりも、マルウェア(悪意あるソフトウェア)
という表現の方が正確でしょう。
この場合、このマルウェアの型というものをアンチウイルスソフトの会社が
入手することができません。
なぜなら、この標的の会社のために作られ、外部にマルウェアが広がらないためです。
もっというと、感染したことすらばれないようにします。
標的型攻撃の考え方は、昔ながらのコンピュータウイルスの考え方と根本的に違うので、
昔ながらのアンチウイルスソフトでは防ぐことができないのです。
と、少し説明が長くなりましたが、このような説明をすると、
皆さん納得と同時に、じゃあどうしたらいいの、怖いよね、となるわけです。
知らないということは怖いことです。
もう一つ、こういう説明をしたときの反応として、
「うちは中小企業だから狙われることはない」と。
実際は、そんなことはなく、本来狙っている標的の組織というのは、
それなりにセキュリティレベルが高いわけです。
毎年のように標的型攻撃の訓練をしていて、
全員が標的型攻撃のなんたるかを理解している組織なわけです。
こういう組織に標的型攻撃を成功させるためには、
何の不信感も持たれずにメールを開かせる必要があります。
そのために、業務やその組織固有の情報を事前に仕入れるわけです。
その際、セキュリティレベルが比較的低い、標的組織と取引している中小企業などを狙い、
担当同士のメールのやりとりを盗んで、いかにもな、標的型攻撃メール本文を作り上げます。
つまり、狙っても何もでないよ、と思っている中小企業でも狙われ、
取引先に打撃を与えかねないということです。
これまた、怖い話です。
昔ながらのセキュリティ対策や、英語の怪しいメールは開かないように、
なんていう常識は通用しません。
今や、不信さを感じないメールで忍び込んでくるのですから。
今の時代にマッチした新しいセキュリティ対策ソフトの導入や、セキュリティの新常識を広める研修が必要ですね。
遅きに失しないように。
日本年金機構は、標的型訓練を一度もしていなかったということまでも、
批判の材料にされていますから。
—–