――特に企業や組織において、直近では具体的にどのようなやり口で攻撃が行われ、被害が起きているのでしょうか。
所属する人の名前まで特定して攻撃するような場合では、これも古典的な手口ですが「スカベンジング」といって、ゴミ箱をあさって組織図などを手に入れるという方法があります。
また、ハッカー自身が顧客としてその企業の製品やサービスを一度利用するというやり方も出てきています。一度顧客になれば、請求プロセスや書類のフォーマットを確認した上でアタックができるからです。特に、オンラインのみで完結するサービスではこうした確認がしやすくなっています。
やり取りの内容やメールのタイミング、書類に入っているロゴの位置などを把握した上で、これをまねて同じ手順でウイルスを送りつければ、受け取る側も信用して開いてしまいます。こうした攻撃では、大手企業も標的として狙われており、2017年には日本航空(JAL)が取引先を装ったメールに騙されて、3億8000万円以上を振り込んでしまった例があります。
うわべだけのセキュリティ対策が
テレワークで弱点となって現れる
――「情報セキュリティ10大脅威 2020」の中で、テレワークになることによって特に脅威が高まると考えられる項目は何でしょうか。
テレワーク特有の脅威としては、いわゆる「顔パス」など、会って顔を合わせることで発動するセキュリティが効かなくなる点が挙げられるでしょう。その上で、セキュリティ脅威の影響を受けやすいかどうかは、10大脅威のどの項目であるかによらず、テレワークになる前の日常でどのくらいきちんと対策が行われてきたかに左右されると思います。
組織においては、セキュリティの思想が分かった上で普段から対策をしていることが大切で、アリバイ工作的な対応では意味が薄まります。ところが、セキュリティは対策による効果が見えにくいため、何らかの結果を示せと言われた際に説明がしにくい。そこで説明をしやすくするために、「メールで送信する全ファイルをパスワードで暗号化し、2通目でパスワードを送るようにルール化する」といった、セキュリティ的には意味に乏しい、うわべだけのカタログ的、アリバイ工作的な対応をしてしまいがちです。
こうしたアリバイ的対策を行っていた企業では、コロナでテレワークになることによって脆弱(ぜいじゃく)性が拡大していると思います。逆に安全性を理解して対策を業務手順に組み込んできた企業では、テレワークが主体になったとしてもうまく対応できているでしょう。