Digital Arts News Watch

最新の情報セキュリティの被害実態や対策の実施状況を把握するため、IPA（独立行政法人情報処理推進機構）が実施した「2014年度情報セキュリティ事象被害状況調査」の報告書が、2015年1月15日に公開されました。
https://www.ipa.go.jp/about/press/20150115.html

今回の調査で「サイバー攻撃に遭遇した企業」は全体の19.3％となり、前年度の結果から5.5ポイント増加しました。その他には「セキュリティのパッチの適用を確認していない企業が、いまだ全体の4割以上にものぼること」や「小規模な組織ではパスワード変更の実施の割合が低い傾向にあること」なども報告されています。

しかし、この調査結果の中で特に気になるのは、標的型攻撃の多さではないでしょうか。同調査で「サイバー攻撃に遭遇した」と回答した368社のうち、30.4％にもあたる112社が「標的型攻撃を受けた」と答えています。その手口で最も多かったのは、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる（54.5％）」という手法、いわゆる標的型攻撃メールでした。

標的型攻撃メールは、受信者に開封させるための様々な工夫を凝らします。関係者でなければ知り得ないはずの情報を文面に加えたり、顧客からの問い合わせを装ったり、あるいは時事ニュースに関連づけて人々の良心を悪用したりします。たとえば2011年3月、JAXAの職員宛に送付され、その後の甚大な情報漏洩につながった標的型攻撃メールは「震災の支援金給付の案内」でした。

この攻撃の厄介な点は、「あなたの会社を明確に特定して狙っている」ことです。単純なスパムメールの場合は、「不特定多数に同じメールを大量にばら撒き、ほんの僅かな割合でも騙される人がいることに期待する戦略」であるため、それを見分けるのは比較的容易です。しかし標的型攻撃メールの送り主は、あなたの企業のどの情報が欲しいのかを定めており、それを達成する（つまり受信者を騙す）ための労力を惜しみません。

IPAは、標的型攻撃を解説するレポート「標的型攻撃メールの例と見分け方」を発表し、「メールをチェックする際、どの点に気をつけたら良いのか」の具体例を示すために、非常に多くのページを割きました。しかし企業の全スタッフに、この内容を周知徹底させることは困難でしょう。
https://www.ipa.go.jp/security/technicalwatch/20150109.html

標的型攻撃メールでは、最初に得られた社内情報を利用し、別の部署を狙って次のメールを出すといった複雑な手法も使われるため、「あの部署は大事な情報を持っていないから大丈夫」とは決して言えません。今年10月にはマイナンバー制度が導入されることもあり、企業が扱う重要情報は今後も増えていくことが予想されています。このような攻撃に対応するには、「誰一人として標的型攻撃メールに騙されぬよう教育する」のではなく、「技術的な出口型対策を講じる」ことが現実的なのではないでしょうか。
＜記事提供元：株式会社イード＞

標的型攻撃対策には「i-FILTER」Ver.9をおすすめいたします。