お問合せ
商談予約
知らぬ間に私の情報がWEBに!?~情報セキュリティ3(前)
御堂 皆さん、こんにちは。元サイバー犯罪捜査官の御堂(仮名)です。
シリーズ【おしえて!情報セキュリティ】では、セキュリティについての素朴な疑問や基本的な知識から裏の世界(?)まで幅広く、皆さんと一緒に語っていきます。
今日も私の話を華麗にまとめてくれる、編集担当の三ツ矢さん(仮名)に登場していただきます。三ツ矢さん、よろしくお願いします。
三ツ矢 三ツ矢です。2017年もすでに秋、最近は随分と寒くなってきました。御堂さんはいつもYシャツ1枚の薄着なので、風邪ひかないかと心配です。皆さんも体調には気をつけてくださいね。それでは、本日も楽しくセキュリティを学びましょう!
- 目次
こんなメールを受け取ったこと、ありませんか
御堂 前回まではマルウェアを中心にお話しましたね。その中で、マルウェアに感染する要因と考えられるのが、攻撃者が仕掛けた悪意あるメールの添付ファイルの開封や、不正サイトへのアクセスだということもお話しました。
◆前回の記事はこちら:
「ウイルス」と「マルウェア」の違いって何?【おしえて!情報セキュリティ Vol.1】
幽霊?透明人間?新たなサイバー攻撃「ファイルレス」とは?【おしえて!情報セキュリティ Vol.2】
そこで、三ツ矢さんに質問です。今お話したような「悪意あるメール」を受け取ったことはありますか?
三ツ矢 ええ、何度もあります。以前使っていた私のメールアドレスって短くて......。宝くじや懸賞があたりました等のメールから、男性向けの怪しいメールなど、友達からのメールが埋もれてしまうくらい届いていました(笑)。アドレスを複雑なものに変えてからは、届かなくなりましたけど。
御堂 それは、「ばらまき型」のいわゆる迷惑メールですね。文字列を組み合わせたメールアドレスを自動生成するなどして片っ端からメールを送ったり、どこからか手に入れたアドレス一覧を使って不特定多数の人に送ったりするものです。
それに対して、「標的型攻撃メール」は、三ツ矢さん個人や勤務先の組織にピンポイントで狙いを定めて、より巧妙に「騙し」を仕掛けてくるものを言います。
「自分だけは騙されない!」って思ってませんか?
三ツ矢 うーん。私、いまいちピンとこないんですよね。いくら巧妙にと言っても、さすがに本物の知り合いかどうかは文面で分かりそうなものだし、添付ファイルを開かなければ大丈夫なんですよね? 今の時代、「知らない人からのメールや怪しい添付ファイルは無視するに決まってる」って人は多いと思いますけど。
御堂 では、もし私のメールアドレスから「原稿」というタイトルでファイル付きのメールが送られてきたら、見ないんですか?
三ツ矢 それは、見ます。御堂さんのメールアドレスから届いたものですし、「原稿」って書いてあるから、仕事に関するメールに違いないじゃないですか。特に怪しむ必要ないですよね?
御堂 ......考えてみてください。本当に「安全」と言えますか?
読者の方なら、三ツ矢さんと私の間で「原稿」というタイトルのメールがやりとりされている可能性があるのは容易に想像できますよね。あとは勤務先を割り出して、メールアドレスの生成ルール、そして私と三ツ矢さんの本名さえ手に入れば、メールアドレスを偽装するなんて簡単にできちゃうんです。
三ツ矢 えええっ! 怖いというか、そこまでされると気持ち悪いですね。......御堂さんって、いつもそんなこと考えていたんですね。
御堂 いや......断じてそれは否定します。要するに、狙いが定まるほど、攻撃者による騙し方はより一層、巧妙になるってことです。
近年でも日本の企業で、取引先を名乗る「標的型攻撃メール」が原因となって、数百万件の個人情報が流出した事件がありましたね。このように攻撃者は、個人の「隙」を巧みについて、企業全体に重大な被害をもたらすことを考えると、いかにこのような被害に遭わないか、普段から狙われやすい情報を発信してしまっていないかなど、自ら発信した情報をハンドリングすることが、これからはより一層大切になってくるでしょうね。
