完全に防ぐことは出来ない標的型攻撃メール

昨今の標的型メール攻撃による情報漏えい事件の多くは、標的にされた組織のたった1人が攻撃プログラムを偽装した添付ファイルを開いてしまった、あるいは攻撃用Webサイトに誘導されてしまった為に発生しています。

あなただけでは標的型攻撃メールを防げない

Webサイトの閲覧、電子メールの送受信が可能なパソコンは攻撃者がやってくる窓口になり、あなたが完璧な防御、情報セキュリティ対策を行っていても、いつか必ずあなたの周りの誰かが攻撃を受け、そこから同じネットワークに接続されたパソコン、NAS(ネットワークに直接接続して使うHDD等)へ被害が拡大します。組織の中でリテラシーが高く、このページを読んでくれているあなたがどんなに気をつけていても、組織に対するサイバー攻撃を完全に防ぐ事は出来ません。

今、情報セキュリティ対策として組織全体に求められるのは、「Webサイトの閲覧、電子メールの送受信が可能な全てのパソコンと、それにつながるNASは、攻撃者の標的である」という認識をはっきりと持つことです。

そして、攻撃者の標的にされているパソコン、NASに、漏洩すると大変なことになる重要な情報を、どうしても保存する必要があるのかを見極めて、それでも保存する必要があると組織として判断するなら、責任を持って、情報漏えいのリスクを最低限にする為の情報セキュリティ対策を実施してください。

重要な情報を守る、そしてあなたを守るための対策

標的型攻撃メールは巧妙かつ執拗であり、あからさまに不審ではなく、受信者の業務内容に一致したメールの添付ファイルを開いてしまうことや、Webサイトに誘導される可能性はあると思います。「請求書」や「荷物の受け取り」という内容を100人中100人が完全に無視することは不可能かもしれませんし、標的型攻撃メールの添付ファイルを開いてしまったり、本文にて案内されるWebサイトに誘導されたりした人が強く非難されるような状況ではありません。

しかし、次のような場合は、現実に起きている事件と同様に、攻撃者の悪行よりも組織の管理体制の甘さや落ち度を強く非難されることになります。

標的型攻撃メール被害を受けたのに強く非難されてしまう原因と対策

  1. 変だと気付いてから、LANケーブルを抜き、管理者に報告するまでに、長時間経過していた。
  2. 重要な情報が記載されたファイルに適切なパスワードを設定していなかった。
  3. 攻撃を受け、情報漏えいの疑いが判明したのに、対策や公表が遅れた。
  4. インストールしているOSやソフトウェアのアップデートを怠り、その脆弱性を悪用した攻撃を受けた。

このような、当たり前のことを、軽く考えず、ちゃんとやっていれば避けることが出来た管理ミスにより、顧客から託された重要な情報を守ることが出来なかった、そして組織を、あなた自身を、守ることが出来なかった、ということが起こらないよう、次のことを必ず行ってください。

すぐにLANケーブルを抜き責任者に報告する

変だと気付いたら、すぐにPCのLANケーブルを抜き、部署の責任者に報告してください。実際に攻撃を受けている場合にLANケーブルを抜かずに放置すると、あっという間に、ネットワークでつながったPCやNASから大量のファイル、重要情報が搾取されてしまいます。

重要なファイルには適切なパスワードを設定する

重要な情報が記載されたファイルに、英小文字大文字、数字、記号を組み合わせた8文字以上のパスワードを設定してください。そうすることで、たとえファイルが攻撃者の手に渡っても、ファイルに記載された内容を攻撃者に悪用されるリスクは下がります。

部署の責任者は情報管理部門にすぐに報告する

部署の責任者は、事件事故のおそれがあれると判断すれば被害の有無などの調査結果を待たずに、すぐに第一報を情報管理部門に報告してください。

アップデートの迅速な適用

OSやソフトウェアは日々脆弱性が発見されています。脆弱性とは、プログラムされた通りの動作の中に潜む思いもよらなかった情報セキュリティ上の欠陥です。この欠陥を攻撃者は利用します。発見された脆弱性は、通常、数日間でメーカーが対策のためのアップデートを用意します。

が、しかし、アップデートまでの数日間、あるいは、利用者がアップデート作業を怠っていると、攻撃を受けるリスクが高いので、特にAdobeFlashPlayer、JAVAなどは利用者の責任で迅速にアップデートを実施してください。また必要なければ、必要かどうか判断出来なければ、削除してください。

迅速な公表もセキュリティ対策です

サイバー攻撃を受けてしまったら、全容が把握出来るまで公表は控える、という考えを持つ経営層は少なくありません。実際に被害があったのか、個人情報の漏洩はあったのか、原因はなんだったのか、こちらに落ち度はあったのか、様々なことを気にしてばかりで、結果公表が遅れ、公表しないからシステムやサービスを止められず二次被害が拡大し、その隠蔽体質を強く非難され信用を失った組織をたくさん見てきました。

迅速な公表は情報セキュリティ対策の中でも、とても重要な事です。インシデントが発生したと認識した場合、調査を待ってからではなく、今現在判明していることを、ますば報告する。そのためにも先に述べた対策を日々行っている事が重要で、対策を行っていた場合の公表内容と、そうでない場合の公表内容がどう違うのか、見比べてみて下さい。

対策を行っていたが、それでも被害を受けた場合の公表

(公表例)
「日々迅速にソフトウェアアップデートを行って脆弱性対策を行っていたが、不審なメールの添付ファイルに新種の未知のウイルスが仕込まれていたと思われ、そのウイルスに感染したことが発端となり、必要最小限、責任者が許可して保存していた重要ファイルを搾取された可能性があります。

ファイルには個人情報○○件が記載されていましたが、ファイルには英小文字大文字、数字、記号を組み合わせた8文字以上のパスワードを設定しており、個人情報が悪用される可能性は低いと考えられます。不審メールを受信したのは昨日、添付ファイルをクリックして違和感を感じたため、すぐにLANケーブルを抜き、念のため同一ネットワークに接続されているパソコンも全てLANケーブルを抜き、現在、被害状況の確認を行っております。

詳しい状況が判明次第、追って報告したします。」と迅速に公表すれば、組織の管理体制の不備を強く非難されることはありません。

対策を行わずに被害を受けた場合の公表

(公表例)
「外部から情報が漏洩しているのではないか、と指摘され、調べたところ1ヶ月以上前から不審メールを受信していたようで、数台のPCがウイルスに感染している事が判明しました。ウイルス感染したPCはソフトウェアの脆弱性が放置されたままで、ルールが守られず大量に保存された重要ファイルが搾取されたました。

搾取されたファイルの数、個人情報の件数は現在も調査中です。またファイルにはパスワードが設定されておらず誰でも中身を見ることが出来ます。外部から情報漏洩を指摘されてから、2週間かけて調査を行い、ようやく情報漏洩の事実が判明したので、現在はウイルス感染のおそれがあるパソコンのLANケーブルを抜き被害状況を確認中です。」などと後手後手の対応と、どうにもならなくなってからようやく公表するという姿勢は、二次被害の拡大を招き、強く非難され組織の信頼を失うことになるのです。

完全に防ぐことが出来ない標的型攻撃メールの被害、ならば、被害を最小限に抑えるための最大限の対策を実施する必要性をご理解いただけると幸いです。

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
標的型メール攻撃対策
arisaをフォローする
情報セキュリティ対策の真実

コメント