プライスウォーターハウスクーパース シニアマネージャー。監査法人系コンサルティング会社およびITセキュリティ企業の取締役を経験後、現職。セキュリティ対策の評価・改善、セキュリティオペレーションセンター構築、CSIRT構築、インシデント対応等のサイバーセキュリティ関連サービスを提供。
サイバーインシデント(攻撃)は、ひとたび顕在化すると企業経営を脅かしかねない。経営者は記者会見で「IT部門に任せていたので…」というわけにはいかない時代になった。
近年、標的型攻撃による大量の個人情報漏えいが社会的な問題となっている。国内では本年メディアでも大きく報じられた125万件もの個人情報漏えい事件は、企業の経営者や公的機関の責任者に大きな衝撃を与えた。
一方、海外に目を向けると、本年7月に米国政府へのサイバー攻撃によって、社会保証番号を含む2500万人以上の情報が漏えいした事件が記憶に新しい。流出した情報は、政府の現職職員や元職員、出入り業者や家族らの個人情報だった。ワシントン・ポスト紙は「おそらく米国政府史上で最も深刻なサイバー攻撃」と報じている。
これまでそれなりのセキュリティ予算を確保し、IT部門を中心としてセキュリティ対策に励んできたにも関わらず、なぜ防げなかったのだろう?これが、おそらくマネジメント層の方々が最初に抱く疑問だろう。
サイバー攻撃は高度な技術力を持ったハッカー達が仕掛けてくるものであり、その攻撃手法など到底理解することができないと思われがちだ。しかし、実際に用いられている手法はハイテクというよりローテクに近い。サイバー攻撃がどのように企業に忍び寄ってくるのか、その代表的なメカニズムを経営者が知ることは、サイバーリスクを経営リスクとして捉えるための第一歩ではないだろうか。
怪しいメールがやってくる?
国内事例のサイバーインシデントでは、まず攻撃者からマルウェアが添付されたメールが送られてきたと発表されている。このメールを受け取った担当者が添付ファイルを開いてしまった。そんな“怪しい”メールの添付ファイルをなぜ開いてしまうか?と疑問に思う方々もいるだろう。
次のページのメールを見ていただきたい。たとえばこのようなメールが攻撃者から送られてくる。どんな“怪しい”要素があるだろうか?送信者のアドレスがフリーメールであることは送信者が個人であれば特に不自然ではない、文面もよく読めば気になる言葉づかいはあるかもしれないが、“怪しい”と呼べるほどではない。