日本年金機構で発生した大量の個人情報漏えい。ここで用いられたのが「標的型サイバー攻撃」と呼ばれる手法だ。近年、このタイプの攻撃は急増している。同時に、その手法も巧妙化している。これに対して、十分なセキュリティ対策をとっている企業は少ない。企業にはどのような取り組みが求められているのだろうか。トレンドマイクロの専門家、染谷征良氏の話をもとに、セキュリティをめぐるリスクの現状と対策について考えてみたい。(取材・文/津田浩司)

「怪しいメール」の判別は
簡単ではない

企業を取り巻くサイバーセキュリティの実態を語る、トレンドマイクロの染谷征良 上級セキュリティエバンジェリスト Photo:DIAMOND IT Business

 今年5月の日本年金機構の事件など、大量の個人情報流出が相次いでいる。年金機構は100万件以上の情報が盗まれたとされ、規模が大きい。高い社会的責任が求められる事業を行う組織だけに大きな話題になり、厳しい批判にもさらされている。

 こうした問題が発生する度に、企業経営者は「ウチは大丈夫か」と心配になるに違いない。そして、多くの企業で何らかの対策が実施されるが、「何も起きないこと」のために大きな予算は投入しにくい。やがて半年、1年経つころには尻すぼみになってしまうケースも多いのではないだろうか。

 ある時点で「万全を期した」つもりのセキュリティ対策が、しばらくすると時代遅れの対策になってしまうケースもある。サイバー攻撃の手口は日々、高度化しているからである。特に近年増加しているのが、年金機構のケースでも見られた標的型サイバー攻撃である。

 セキュリティ関連ソリューションを提供するトレンドマイクロの上級セキュリティエバンジェリスト、染谷征良氏は次のように語る。

「年金機構のケースも同様とみられますが、標的型サイバー攻撃の初期段階では、ターゲットとされた組織に対してメールが送信されるのが一般的です。そこで、『怪しいメールは開くな』とよくいわれます。しかし、最近はより巧妙になっており、一般従業員が怪しいかどうかを判別するのが非常に難しくなっています」

 社員のセキュリティ意識を高めて防御しようとしても限界がある。数万人規模の大きな組織になれば、なおさらだ。例えば、年末調整の時期に医療費の確認を求める【図1】のようなメールが届いたとすれば、どうだろうか。このファイルを開く社員は1人もいないと、断言できるだろうか。染谷氏は「年金機構と同じようなサイバー攻撃を受けた場合に、迅速かつ適切に対応できる組織は果たしてどれだけあるでしょうか」と問いかける。

【図1】トレンドマイクロが入手している攻撃メールの例。一見、年末調整の時期に来そうな、医療費の確認を求めるただの事務連絡に見えるが、実はまったくのデタラメ。送信元アドレスなども偽装されていないレベルだが、そこまで詳しく見て怪しく思う人は多くない。このメールの添付ファイルを開こうとしてしまえば、侵入プログラム(マルウェア)が自分のPCにインストールされてしまう(画像提供:トレンドマイクロ)