コラム

 公開日: 2015-01-20  最終更新日: 2015-06-24

情報セキュリティについて(3)-セキュリティホールはあなたかも?ソーシャルエンジニアリングの脅威

過去2回、情報セキュリティの考え方について提示してきましたが、最後に昨今話題となっている「標的型攻撃」について説明します。
「標的型攻撃」は、特定の組織や個人をターゲット(標的)にして、コンピュータや情報システムに不正に侵入し、重要情報を取得する等を目的とするサイバー攻撃の一つです。不正侵入を行うためにはパスワード等の認証情報を取得する必要がありますが、その際にハッキングと同様に用いられる手法がソーシャルエンジニアリングです。

ソーシャルエンジニアリングとは、システムの脆弱性に対する攻撃とは異なり、「人間」の心理的な脆弱性に対して行われる攻撃手法です。システム上の脆弱性は高度なセキュリティ製品の購入、社外ネットワークからのアクセス状況のモニタリング、セキュリティパッチの適用、といった手法で対処することは可能ですが、システムを使用する人間に知識や注意力が欠けている場合は、脆弱性の高いポイントとなってしまいます。

ソーシャルエンジニアリングによる情報取得として、従来であればパスワードを打鍵しているところをのぞき見たり、役職者になりすまして電話等で必要な情報を聞き出したり、という手法が伝統的ですが、最近の代表的な攻撃手法は標的型攻撃メールによるものです。標的型攻撃メールには、不正プログラムや、不正なマクロ等を組み込んだ文書ファイルなどが添付されています。メールの受信者がこの添付ファイルをクリックすることで、社内ネットワークの認証情報を取得して送信したり、バックドアを生成して外部の攻撃者が自由に出入りできる仕組みを構築したりします。結果として、攻撃者はターゲットとする組織のネットワークに侵入し、重要情報を入手したり、消去したりします。
一例として、以下のような攻撃手法が考えられます。

攻撃者がターゲットに設定した企業の情報をネット上で調査しているところに、SNS上である役職者がとある店で食事をし、料理に満足した等の書き込みを見つける

攻撃者はその店のオーナー等になりすまし、お礼とともに不正マクロの組み込んだクーポンを添付してメールを送付する。

メールを受け取った役職者がクーポンを表示するために添付ファイルをクリックした瞬間、外部ネットワークに対するバックドアを開き、社内ネットワークの情報を送信して侵入可能となる

もちろん、実際はこんなに単純ではなく、もしかしたら特定の人物をターゲットにして日常の行動を尾行して調査することもあり得ます。「自分の会社にはそこまで必死になるほどの重要情報はない」と考えている方もおられるかもしれませんが、他社のサイトを攻撃するための踏み台や、標的型メールの送信元とするために侵入するケースもあるので、自分のところは例外だと考えない方が良いでしょう。しかも、標的型攻撃のやっかいなところは、愉快犯のように脆弱なサイトを狙うのではなく、セキュリティ上強固なサイトでも執拗に攻撃され、目的を達成するまで止まないところにあります。

それでは、こうしたソーシャルエンジニアリングの手法への対策ですが、基本的には何度もお聞きしたことがあるであろう、当たり前のことばかりです。具体的には以下の内容です。
 ・常に最新のセキュリティパッチやウィルスパターンファイルを適用する
 ・最新版のブラウザを使用する
 ・サイトやメールアドレスのドメイン名を確認する.
 ・件名や内容が不自然なメールについては開封しない
 ・添付ファイルはプロパティを確認したりウィルスチェックをかけたり等、安易に展開しない様注意する
 ・メール本文に書かれたURLはリンク先を確認する
 ・パスワード等のアクセス情報や暗証番号、クレジットカード番号を直接聞きだすような内容には回答しない(もし対応の必要がありそうな場合はメール記載のではなく、公開されているサポート番号等に電話して確認する)
また、標的型攻撃メールを受信した旨報告を受けたシステム管理者は、同様の攻撃をされない様、社内周知を行うことが重要です。

知識ベースでは上記の様に非常に当たり前のことばかりですが、ソーシャルエンジニアリングは人間の心理状態に働きかけるものなので、一時的にパニックを引き起こすような内容とともに接触してくる可能性があります。そのような場合でも、慌てることなく冷静に読み直し、その信憑性を判断する癖を身に着けてください。
人間の心理的脆弱性を狙ったソーシャルエンジニアリングを適用した攻撃は今後、一層エスカレートしてくるでしょう。情報機器やソフトウェアだけでなく、ソーシャルエンジニアリングによる攻撃に対しても、意識を高くして対策を万全にしておきたいところです。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社の関連するサービスの紹介はこちらをご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

1

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ