コラム

 公開日: 2015-01-20  最終更新日: 2015-06-24

情報セキュリティについて(3)-セキュリティホールはあなたかも?ソーシャルエンジニアリングの脅威

過去2回、情報セキュリティの考え方について提示してきましたが、最後に昨今話題となっている「標的型攻撃」について説明します。
「標的型攻撃」は、特定の組織や個人をターゲット(標的)にして、コンピュータや情報システムに不正に侵入し、重要情報を取得する等を目的とするサイバー攻撃の一つです。不正侵入を行うためにはパスワード等の認証情報を取得する必要がありますが、その際にハッキングと同様に用いられる手法がソーシャルエンジニアリングです。

ソーシャルエンジニアリングとは、システムの脆弱性に対する攻撃とは異なり、「人間」の心理的な脆弱性に対して行われる攻撃手法です。システム上の脆弱性は高度なセキュリティ製品の購入、社外ネットワークからのアクセス状況のモニタリング、セキュリティパッチの適用、といった手法で対処することは可能ですが、システムを使用する人間に知識や注意力が欠けている場合は、脆弱性の高いポイントとなってしまいます。

ソーシャルエンジニアリングによる情報取得として、従来であればパスワードを打鍵しているところをのぞき見たり、役職者になりすまして電話等で必要な情報を聞き出したり、という手法が伝統的ですが、最近の代表的な攻撃手法は標的型攻撃メールによるものです。標的型攻撃メールには、不正プログラムや、不正なマクロ等を組み込んだ文書ファイルなどが添付されています。メールの受信者がこの添付ファイルをクリックすることで、社内ネットワークの認証情報を取得して送信したり、バックドアを生成して外部の攻撃者が自由に出入りできる仕組みを構築したりします。結果として、攻撃者はターゲットとする組織のネットワークに侵入し、重要情報を入手したり、消去したりします。
一例として、以下のような攻撃手法が考えられます。

攻撃者がターゲットに設定した企業の情報をネット上で調査しているところに、SNS上である役職者がとある店で食事をし、料理に満足した等の書き込みを見つける

攻撃者はその店のオーナー等になりすまし、お礼とともに不正マクロの組み込んだクーポンを添付してメールを送付する。

メールを受け取った役職者がクーポンを表示するために添付ファイルをクリックした瞬間、外部ネットワークに対するバックドアを開き、社内ネットワークの情報を送信して侵入可能となる

もちろん、実際はこんなに単純ではなく、もしかしたら特定の人物をターゲットにして日常の行動を尾行して調査することもあり得ます。「自分の会社にはそこまで必死になるほどの重要情報はない」と考えている方もおられるかもしれませんが、他社のサイトを攻撃するための踏み台や、標的型メールの送信元とするために侵入するケースもあるので、自分のところは例外だと考えない方が良いでしょう。しかも、標的型攻撃のやっかいなところは、愉快犯のように脆弱なサイトを狙うのではなく、セキュリティ上強固なサイトでも執拗に攻撃され、目的を達成するまで止まないところにあります。

それでは、こうしたソーシャルエンジニアリングの手法への対策ですが、基本的には何度もお聞きしたことがあるであろう、当たり前のことばかりです。具体的には以下の内容です。
 ・常に最新のセキュリティパッチやウィルスパターンファイルを適用する
 ・最新版のブラウザを使用する
 ・サイトやメールアドレスのドメイン名を確認する.
 ・件名や内容が不自然なメールについては開封しない
 ・添付ファイルはプロパティを確認したりウィルスチェックをかけたり等、安易に展開しない様注意する
 ・メール本文に書かれたURLはリンク先を確認する
 ・パスワード等のアクセス情報や暗証番号、クレジットカード番号を直接聞きだすような内容には回答しない(もし対応の必要がありそうな場合はメール記載のではなく、公開されているサポート番号等に電話して確認する)
また、標的型攻撃メールを受信した旨報告を受けたシステム管理者は、同様の攻撃をされない様、社内周知を行うことが重要です。

知識ベースでは上記の様に非常に当たり前のことばかりですが、ソーシャルエンジニアリングは人間の心理状態に働きかけるものなので、一時的にパニックを引き起こすような内容とともに接触してくる可能性があります。そのような場合でも、慌てることなく冷静に読み直し、その信憑性を判断する癖を身に着けてください。
人間の心理的脆弱性を狙ったソーシャルエンジニアリングを適用した攻撃は今後、一層エスカレートしてくるでしょう。情報機器やソフトウェアだけでなく、ソーシャルエンジニアリングによる攻撃に対しても、意識を高くして対策を万全にしておきたいところです。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社の関連するサービスの紹介はこちらをご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

1

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
改元とIT-元号の変更によるITへの影響

先日、皇室会議にて天皇陛下の退位が2019年4月30日、皇太子さまの即位が2019年5月1日と決定されました。これに伴い...

[ リスク管理 ]

情報セキュリティのセルフチェックをしてみませんか。

昨今、情報漏えいやランサムウェア等の情報セキュリティに関する事故、事件が相次いで発生しています。さらに、マ...

[ セキュリティ ]

サイバー空間をめぐる脅威の状況(平成29年上半期)

先日、警察庁より「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公表されました。これに...

[ セキュリティ ]

FAKEニュース(偽ニュース)に惑わされないために

最近はネット上にFAKEニュース、または偽ニュースと呼ばれる、事実とは異なるニュースが氾濫しています。先日も「...

[ リスク管理 ]

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ