事件のポイントは標的型攻撃

“標的型攻撃”を例えるなら“スパイ活動”

“標的型攻撃”を例えるなら“スパイ活動”

日本年金機構がサイバー攻撃を受け、年金受給者と加入者の個人情報が流出した事件の全容が見えてきました。この事件のポイントは“標的型攻撃”と呼ばれる、例えるなら“スパイ活動”です。

“標的型攻撃”は、狙った組織や個人だけをピンポイントで攻撃します。今回はメールでしたが、DVDで遠隔操作ウイルスを郵送するなんてこともあったりと、あの手この手でターゲットに接触してきます。そして侵入に成功すると、機密情報を盗んだり、システムの改ざんや破壊など、“悪の007”とも言えるスパイ活動を行います。

もし万が一、ターゲットにされてしまうようなことがあれば、どこの職場でも漏えい事件に発展してしまう可能性があるでしょう。今後、企業の機密情報が盗まれてしまう事件が増えるような、そんな悪い予感がします。

今回は、この事件を未然に防止する対策があったのかどうか、事件と照らし合わせながら検証してみましょう。なお、事件の内容については、2015年6月5日現在までの報道を元にしています。

どのように接触してきたのでしょうか?

福岡県事務所に、メールの件名が“厚生年金基金制度の見直しについて(試案)に関する意見”で、差出人は“企業年金連絡協議会”という実在する関係団体を偽ったメールが届く。そのメールには、厚労省の担当課長に意見を提出したとして、リンク先からファイルをダウンロードするよう誘導がありました。しかし、ダウンロードしたファイルは資料ではなく、遠隔操作ウイルスだった……というのが事件の発端です。

そして福岡県事務所から本部へと遠隔操作ウイルスが広がっていき、年金受給者と加入者の個人情報が流出する大事件へと発展します。

知らない相手からの迷惑メールや勧誘メールであれば削除するものの、知っている相手であれば開いて当然です。加えて、添付ファイルではなく、リンクをクリックしてダウンロードするようなストレージサービスを利用しているところが、なんとも巧妙ですね。わざわざ登録して送ってくれた印象を受けます。この状況で“ウイルスかな?”と疑う余地はないでしょう。

このように人間の心理的な隙を突く手口を、“ソーシャル・エンジニアリング”と呼びます。科学的に人をだますわけですから、うっかり信用してウイルスをダウンロードしてしまうこともあるでしょう。それでは万が一、ウイルス感染してしまった場合に、被害拡大を防止することはできないのでしょうか。