攻撃者の視点で組織の情報安全対策を考える（前編）

「敵の動き」を知るには、まず何をするべきなのか？
それには、まず敵になりきり、その心理と手口を「先読み」して理解することだ。

「攻撃の手口を知るからこそ、対策をどうすればよいかを考えられる」――そう語るのは、iPhone部品製造の半導体装置や市町村防災システムの開発に幅広く携わってきたM・S氏。現在は、東京都内の教育関連企業で社内SEとして勤務し、社内システムの安全管理などを行っています。

ある程度のITの知識がある者からすれば、近年流行の「標的型攻撃メール」や「なりすまし」型の情報詐取などはごく簡単にできる、と明かします。

本稿は、M・S氏による「攻撃する側の視点」から考える、組織を標的としたサイバー犯罪の手口とその対策についての寄稿コラムです（前編・後編の2編です）。

目次

「ウイルスメール」だけが脅威じゃない

たとえば、何者かが自社に恨みを抱き、何らかの「復讐」をもくろんだ、とする。
それは、過酷な長時間労働やハラスメントが祟った内部関係者かもしれないし、何らかの恨みを抱く社外の第三者かもしれない。

手を汚さず自社に痛い目を合わせようとして、実際に実行するとしたらどうするか？

考えられる最も簡単な方法のひとつに、「スパムメールを大量に送信する」というものだ。

メールを使った悪質な攻撃には、代表的なものに「ウイルスメールの送信」があるが、ウイルスが仕込まれていなくとも、会社の問い合わせ窓口にスパムメールが大量に送られてくるだけのことでも、組織にとっては大損害につながるトラブルになる。

その手口はきわめて単純。「使い捨て」のメールアカウントを大量に取得して、とくに意味のないスパムメールを大量に送り付けるだけだ。

迷惑メールの被害に遭ったことがある人ならわかると思うが、大量のスパムメールで受信BOXがいっぱいになることほど、面倒で困ったことはない。

取引先や一般顧客からの問い合わせメールがスパムに埋もれてしまうだけでも、組織は混乱する。
ましてや、メールサーバがダウンすれば、多くの従業員の仕事が成り立たなくなるだろう。

「取引先への問い合わせ対応が滞る」「迅速に対応すべきメールを見落とす」といった"二次災害"を起こすだけで、作業効率を落とすだけでなく、組織としての信用すらも簡単に失墜させることができる。

ただ、メールサーバをパンクさせるほどの被害となると、さすがに手動でやるには手間がかかりすぎるのは当然。
自動でメールを送信するには、プログラムを動かす必要があるため、ある程度の知識と技術が必要になる。

しかし、そのような知識と技術がなくても問い合わせ窓口を混乱に陥れることができる、別の攻撃パターンもある。次の項を見てみよう。

スパムメールを一気に大量送信してサーバをパンクさせるという手口もあるが、「ウソの問い合わせメール」をいくつか作成し、予約送信機能を使って、時間差で「本物」の問い合わせのように見せかけて送りつける、というのも攻撃手段のひとつだ。

とりわけ、内部関係者の犯行なら、「組織が日常的な業務でやりとりするメール」に似せた偽メールを、複数パターン作成できる（いわゆる「なりすまし」）。さらに、メールサービスに予約送信機能があれば、会社にいながら自社を攻撃する、などというカモフラージュも簡単にできてしまう。

もちろん、攻撃対象となる組織の業務実態を把握できさえすれば、外部の第三者にも同じことができるだろう。

近年、猛威を振るう「ビジネスメール詐欺（BECとも呼ばれる）」は、まさにこの手口による攻撃パターンだ。

偽メールの「擬態」が巧妙であるほど、組織の混乱具合は深刻になるのは、ご想像の通りだ。

こちらは上述のような、大量のスパムメール送信、サーバダウンほどの直接的な妨害力はないかもしれない。しかしそれでも、「本物の問い合わせ」への対応を遅らせる・緊急トラブル対応で通常営業ができないようにし作業効率を下げる、くらいの被害は出るだろう。それは被害者からすれば、もはや立派な「営業妨害」行為だ。

さらに一度こういったトラブルが起きると、「あの組織のセキュリティ管理は、実はかなりずさんらしい。うちの情報を渡すと、何があるかわからない」というように、間接的に社会的信用までも失いうる。急所を突くまではいかずとも、立派な攻撃となるわけだ。

〈　『「サイバー攻撃者の視点」で考える、組織の情報セキュリティ対策』　後編へつづく　〉