標的型攻撃とは、特定のターゲットに絞ってメールなどでサイバー攻撃を仕掛ける「標的型攻撃」。その多くがメールを利用して行われるため「標的型メール攻撃」と呼ばれることもあります。最近では多くの情報漏洩事件の原因にもなっているこの攻撃は、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威」において、ここ数年「組織」の10大脅威部門の上位にランクインしており、組織に属する方は確実に意識しておくべき攻撃手法です。
対策方法がわからないうちは不安に思うかもしれませんが、しっかりと特徴を捉えて日々意識して対策を行えば大丈夫です。当記事では、その標的型メール攻撃の特徴や事件の事例、さらにその対策方法を整理しましたので、最後までじっくりお読みください。
IPA情報セキュリティ10大脅威 https://www.ipa.go.jp/security/10threats/index.html
標的型攻撃とは、特定のターゲットに絞ってメールなどでサイバー攻撃を仕掛ける「標的型攻撃」。その多くがメールを利用して行われるため「標的型メール攻撃」と呼ばれることもあります。この標的型攻撃の厄介なポイントは、そのほとんどが、ターゲットを特定して行われ、カード情報や銀行口座・仮想通貨、企業の機密情報などを搾取する目的で行われているということです。
サイバー攻撃に見られる「愉快犯」的なことを目的とした攻撃者はほとんどいないため、引っかかってしまうと、なんらかの情報が奪われ、企業として大きな損害が出てしまう可能性が高いため注意が必要な攻撃なのです。
前述のとおり、IPAの「情報セキュリティ10大脅威」の上位になっていることからもわかるように、多くの情報漏洩事件の原因となっております。少し前の事例になりますが、日本全体に大きな影響があった事件として「日本年金機構(2015年)」への標的型攻撃などが有名です。
その他にも大手企業を含め代表的な被害事例を紹介させていただきます。
日本年金機構九州ブロックに勤務する職員が、仕事の内容を偽った標的型メールを開封し、マルウェアに感染したことにより生じた事件です。日本年金機構では、外部のネットに接続したPCを使って個人情報を管理していたため、瞬く間に年金情報が流出。
公的機関では最大規模となる、125万件の情報漏洩事件に発展してしまいました。なお、流出事件以降も不審な電話勧誘に苦しむ被害者が多く、民間企業であれば本件だけで倒産していたであろうと言われています。
大手旅行会社JTBに勤務する従業員の1人が、取引先を偽装したメールを開封したことがきっかけで、標的型攻撃が実施された事件です。
被害規模はすさまじく、同社のデータベースに登録されていた顧客情報793万人分のデータを流出。氏名や住所等の基礎的な情報の他に、パスポート番号やパスポート取得日など、国籍情報に関わるデータが漏洩したことで知られています。
日本航空(以下JAL)において、マイレージ会員の個人情報が、社内PCのウィルス感染により流出するという事件が起こりました。
社内調査により確定した個人情報流出件数は4131名分。
この事件は社外アドレスから社内の業務PCへ「マルウェア」が添付されたメールが送信されたことに始まります。業界用語や専門用語が使用され、一見関係者と思える内容でメールが送られるこの様な手口(標的型攻撃)によるものと言われています。ここで紹介する対策方法は、あくまでも基本的なセキュリティ対策になります。逆に言えば、その基本的なことをしっかりと行い、さらにはセキュリティの意識を高めていれば、標的型攻撃を防げる可能性は大幅に上がります。
OS・ソフトウェアを最新版にすることは、セキュリティ対策ソフトを導入することは、企業において最も基本的なセキュリティ対策と言ってよいでしょう。そのような状況を保ったうえで、さらにセキュリティ対策は自分事にならないとなかなか意識しないという傾向があります。
「疑似体験(訓練サービス)」を定期的に行っておくことで、従業員の方々の意識が高まり、セキュリティ効果を数倍に上げると言われていますので、ぜひ組み合わせて実施することをお勧めします。
標的型メール訓練サービスとは、従業員の方々に知らせずに標的型メールを送ります。意識の低い従業員の方が誤ってそのメールを開き、さらにはそのメールに記載されたURLをクリックすると、専用のホームページに誘導され、標的型メールに引っかかってしまったことを知らせます。
このような流れの訓練を行い、標的型メール(不審メール)によるマルウェア感染のリスク低減と組織における対処への理解を促進することができるのが、「標的型メール訓練サービス」です。さらに具体的には、下記のようなメリット・効果があります。
毎日数多く届くメールの中から、標的型メールに気づくことができるようになり、メールの開封やメール内のURLのクリックによって、実際にマルウェアに感染してしまうリスクを低減することができます。
まずメールに気づかない人が多いのが標的型メールの特徴です。実際にメールが届いた時に気づくことができるようになるのが最大の効果ですが、実際に届いた際にどのように対応すると良いかが判断できるようになるのも当訓練サービスの効果です。
訓練を受けた社員を中心に、社員一人ひとりのセキュリティ意識この向上が図れ、標的型メールによるマルウェア感染や情報漏洩を減らすことができるようになります。
企業としてのサイバー攻撃への対策を行うためには、まず実施すべきトレーニングの一つです。
IPAの10大脅威にも指定されている「標的型攻撃」。全従業員がしっかりと注意しておかないと、被害をゼロにすることはなかなか難しいことが分かったかと思います。少しでもその被害を抑え、情報漏洩のリスクを減らすためにも標的型メール訓練サービスを定期的に受けておく必要があるかと思い、自社でも実際に受けてみました!
良く見ると送信元のメールアドレスはGmailですし、メールの最後に署名などもないし、怪しさ満点のメールなのですが、
このように送られてくると不安になりクリックしてしまう人がいることは想定されます。
実際にある企業での実施事例では、送信した数に対して約20%の人がURLをクリックしてしまったというデータもあるます。あなたの会社の従業員の方々は「大丈夫」と言い切れるでしょうか?
実際にURLをクリックすると、下記のようなページに飛んで訓練であったことが知らされます。このページを見ると「ハッ!!」してしまいますよね。
これまでセキュリティ対策を意識していなかった企業も、いろいろ対策をしてきた企業も、自社の従業員がどの程度の割合で標的型メールに引っかかってしまうかを、実際に測ってみるだけでも良いと思います。
ぜひ一度自社の従業員の方々のセキュリティ意識の高さを測るために実施することをお勧めします。
標的型攻撃の脅威と、その攻撃に対する対策を行っておくことの重要性がお伝え出来たのではないかと思います。
すぐにできる対策としては、下記の3つが考えられます。
これらの3つの対策のなかでも、やはり従業員の意識を高めることが重要です。その意識を高めることに効果的なのが、上記の3つ目の「疑似体験(訓練サービス)」を受けるのが良いでしょう。まずは一度実施してみて、現在の従業員のセキュリティ意識の高さを確認し、さらに定期的に受けることにより、徐々にセキュリティ意識を高めていくことをお勧めします。