「御社のサイトから個人情報が漏れています」という連絡。あなたならどうする？

今日は、最近のセキュリティの話題を。古くから言われている「信頼できない添付ファイルは開かない」「怪しいサイトは閲覧しない」では防げない、困った攻撃があるのです。

御社のサイトから個人情報が漏れています

そんなメールがウェブマスターのあたなたのところに来たら、どうしますか？ 「元の場所へのアクセス方法と漏洩していた個人情報の一部を添付ファイルにしました」とあれば、その添付ファイルを開いてしまいませんか？

ところが、実はそのメールは御社のサイトを狙ったセキュリティ攻撃で、添付ファイルを開いたウェブマスターのパソコンから情報が盗まれるようになってしまうとしたらどうでしょうか？

「標的型攻撃」という言葉を聞いたことがあるでしょうか。セキュリティの話題ですが、前述のようなものがそうです。

無差別・無作為にメールを大量に送信して「だれかがひっかかるだろう」いうのが一般的なセキュリティ攻撃だとすると、どこかの組織を狙ってピンポイントで「ひっかけてやろう」というのが標的型攻撃です。

一般的にはセキュリティの問題というと「怪しい添付ファイルは開かない」といったことが原則になっているかと思います。「会ってくれれば謝礼を50万円支払います」「競馬で必ず勝つ方法を教えます」なんて怪しいメールならば誰でも身構えるでしょう。しかし、標的型攻撃ではあなたの業務に関係のありそうな内容で攻撃を仕掛けてくるので、うっかりとひっかかってしまいがちです。

nProtect対応チーム公式ブログで、国土地理院を対象に実際に行われた標的型攻撃の例を解説しています。

• 「注意」国土地理院を標的型攻撃した不正なファイル

上記ブログで紹介されている例では、国土地理院という組織を攻撃するのに、「地域デザイン学会名簿について」というひっかけ方をしています。

たとえばWeb担なら「読者プレゼントに応募した人のメールアドレスが全部表示されていますよ」「Web担に対するソーシャルメディア上での反応をテーマごとに整理しました」なんてメールが来れば、うっかりとひっかかってしまいそうです。

御社の業務や御社サイトのトピックに合わせて「○○業界が得意なWebサイト制作会社とその連絡先一覧を作りました」なんてメールが来たらどうでしょうか。また、「ソーシャルメディア最適化ツールのご案内」とか「御社サイトの改善案を作りました」「御社サイトのSEO改善案を添付しました」なんてメールだったら……。

では、こうした標的型攻撃にやられないようにするにはどうすればいいのでしょうか？ 残念ながら、これといって有効な防御方法があるわけではありません。これまでどおりの対策をするしかありません。

• Windows UpdateなどでOSを常に最新版に保ってセキュリティの穴を防ぐ
• FlashやJavaなどのアプリケーションを常に最新版に保つ
• ウイルス対策ソフトを常駐させ、パターンファイルも最新版に保つ

「怪しい添付ファイルは開かないから大丈夫」といわずに、上記のような対策を徹底するということですね。また、こうしたアクションを、取引先の広告代理店や制作会社にも徹底させることが大切ですね。

ちなみに、Flash Player、Adobe Reader、Javaといった、よく攻撃に使われるプログラムが最新版に保たれているかどうかは、「MyJVNバージョンチェッカ」というIPA（情報処理推進機構）が提供しているプログラムを使うのが便利です。昔は最新のOSに対応していないなどの問題がありましたが、今は64bit版も含め、対応が拡がっています。

私は、このMyJVNバージョンチェッカへのリンクをブラウザのブックマークバーの目立つ場所に置いていて、できれば毎日、少なくとも週に1回はチェックするようにしています。