お問合せ
商談予約
サイバー攻撃者の視点で組織の情報セキュリティ対策を考える②
前編はこちらから:
攻撃者の視点で組織の情報安全対策を考える(前編)
本稿は、M・S氏(詳しくは前編をご覧ください!)による「攻撃する側の視点」から考える、組織を標的としたサイバー犯罪の手口についての寄稿コラムです(前編・後編の2編です)。
- 目次
その「何気ない会話」、機密情報がたれ流しかも?
もうひとつ、組織にとって盲点ともいえるのは、
ITの力を使わない、いわばアナログなやり方で機密情報を傍受され、「なりすまし」被害に遭うことだ。
スパムメールの大量送信よりも、さらに用意周到で悪質な手口だが、
攻撃対象の組織の関係者が出入りする飲食店などに出向いて、関係者たちの会話を盗み聞きし、
その情報をもとに「なりすまし電話」をかける、というものがある。
多くの社会人が、昼のランチタイムに近所の飲食店に出かけることがあるだろう。
同行者がいるなら、オフィスではできない仕事話をアレコレ話したくなるはずだ。
隣に座ったビジネスマンたちが、今後の業務予定の話や、取引先や同僚・上司への愚痴話に花を咲かせているのが聞こえた......という経験もあるのではないだろうか。
普段は「雑音」にしか聞こえない会話内容も、意識して聞けば、機密情報の宝庫だ。
さらに、悪意ある攻撃者にとってオイシイのは、多くの社会人が「社員証」をつけたまま、そういった機密情報を話しているということ。「担当者名」「取引先の会社名と顧客名(苗字のみでOK)」「案件のおおまかな内容」さえわかれば、第三者の「なりすまし」など簡単にできてしまう。
こんな電話、実は「なりすまし」かも?
たとえば、こんな「なりすまし電話」をかけることができる。
「〇〇株式会社の、△△の代理の者です。『例の受注の件なのですが、すみませんが社内稟議が下りず、なかったことにしてください』と、××さまにご伝言いただけますでしょうか。」
「例の、ご参加いただく予定のコンペですが、急きょ日付が変更となり、次週の月曜日になりまして......。先日お知らせしていた日時ではなくなりましたので、〇〇さまにご伝言ください。」
うっかりいつものように、「そうですか、承知いたしました!」と納得してしまいそうな巧妙な擬態だ。
むろん、メールアドレスがわかれば、メールでも同じ「なりすまし」が通用してしまうだろう。
「大企業だから大丈夫」?規模に関わらずリスクはある
2017年の暮れには、某大手航空会社が「関係企業になりすましたメール」が原因で、億単位の振り込め詐欺の被害「ビジネスメール詐欺(BECとも呼ばれる)」を受けた、というニュースがあった。
ある程度の実務経験があれば、「取引関連で顧客からそんな連絡があれば、念のため担当者本人に再確認するものでは?」と思うはずだ。
しかし、多忙だったり、対策が徹底されていなかったり、部署によってリスク意識に差があったりして、そういったリスク対策が万全ではないのが実態だ。
また、仮に本人確認を行ったとしても、そこで「なりすまし」の実態がわかれば、「どこかから情報が漏洩している?」「もしかして、この会社の担当者が、情報を漏らしたのでは?」といった疑念を大事な取引先や顧客に与えることになるだろう。
取引先との関係性を危うくさせたり、社の信用を失墜させたりするのは、実は簡単にできることなのだ。
セキュリティ対策の第一歩は、「悪意ある攻撃者の視点」に立って考えること
業務に関する会話を社外で交わすのは、「攻撃の意志」を持つ人にとっては"釣りエサ"でしかない。
たまたま居合わせたように見える人が、実は会社に打撃を与えようとしている人間だったら?
それで、もし自分の「うっかり発言」が聞かれて、悪用されてしまったら?
ミステリーやホラーの物語のような手口、「産業スパイ」など、遠い世界の話......と思うかもしれないが、悪意を持った人間が目的をもって行動すれば、こういう可能性も決してゼロではない。
また、「こんなことを考えるなんて、危険なやつだ!」とか、「会社に反感を持っていると思われる!」と思うかもしれない。
しかし、「(サイバー攻撃から情報を)守る」側にいるからには、「どんな攻撃をしてくるのか」、つまりサイバー攻撃者の心理を知らないことには、緻密な対策は立てられない。
まずは「敵を知る」ということが、情報セキュリティ対策の術を考える第一歩なのだ。
さいごに
最後に、あまりに当然のことで、あえて言うほどのことでもないが、こういったことを実行するのは「ダメ、ゼッタイ」。あくまで、セキュリティを考えるきっかけの可能性の話をしているだけで、そんなことで人生を棒に振ってはならないということを、書き添えておきたい。
〈 寄稿:『「サイバー攻撃者の視点」から考える、組織の情報セキュリティ対策』了 〉
