4月は日本では新年度の始まり、つまりビジネスの新しい取引、新しい動き、新しいチャンスが生まれる時期だ。しかし、残念ながら新しいサイバー脅威が発生する時期でもある。弊社の統計によると、日本のサイバースペースは比較的安全な部類に属するが、それでも2015年にはフィッシング攻撃を受けたユーザーの割合が世界トップとなり、21.68%のユニークユーザーが少なくとも1回はフィッシング攻撃を受けたことがあるという。ちなみに僅差で2位となったのはブラジルで、21.63%という結果だった。

「スピアフィッシング」とは何か

 フィッシングとは、個人や企業から機密データを引き出す手口だ。偽のWebページを作成したりメールを送信したりして、ログイン名、パスワード、クレジットカード情報などを開示させようとする。必要なデータを手に入れれば、犯罪者は金銭や個人情報を盗み出せるようになる。また、標的のコンピューターにマルウェアをインストールするという手口を用いることもあり、その目的は多くの場合、企業ネットワークに侵入して機密データを盗み出すことだが、ひどい場合には重要な情報を破壊しようとすることもある。

 特定の標的から情報を引き出すフィッシングを“スピア型”と呼ぶ。攻撃者は犯罪に利用できる情報を標的から引き出すことや添付ファイルを開かせるために、氏名、家族構成や友人関係といった信用されやすい情報を巧みに利用するが、サイバースペースには、犯罪者が悪用するのに都合がいいオンライン活動の痕跡があふれている。

 この最新の脅威に対抗するための秘訣を、今回は時代を遡って、古代中国の孫子の兵法の書から学んでみよう。

真意を悟られないように
敵を混乱させること

 これはまさにスピアフィッシングの根底にある考え方だ。受信トレイに届いたスピアフィッシングメールは、一見無害なものに見える。そうでなければ標的を騙せないだろう。

 そこで第1の秘訣は、オンラインでは神経質なほど慎重に行動し、常にリスクを意識すること。つまり、何一つ害がないように見えるメッセージも、まずは疑ってみるということだ。よくできたソーシャルエンジニアリングの手口に対抗するのは難しいが、だからと言って今日のサイバースペースでその対策を軽視していいということにはならない。どんな添付ファイルでもリンクでも、たとえ信頼できる送信元から届いたように見えるものであっても、警戒すべきだ。少しでも不審な点があれば、送信者に問い合わせて、本当にその人からのメッセージなのかどうかを確認した方がよい。