サイバー攻撃者の視点で組織の情報セキュリティ対策を考える②

その「何気ない会話」、機密情報がたれ流しかも？

もうひとつ、組織にとって盲点ともいえるのは、
ITの力を使わない、いわばアナログなやり方で機密情報を傍受され、「なりすまし」被害に遭うことだ。

スパムメールの大量送信よりも、さらに用意周到で悪質な手口だが、
攻撃対象の組織の関係者が出入りする飲食店などに出向いて、関係者たちの会話を盗み聞きし、
その情報をもとに「なりすまし電話」をかける、というものがある。

多くの社会人が、昼のランチタイムに近所の飲食店に出かけることがあるだろう。
同行者がいるなら、オフィスではできない仕事話をアレコレ話したくなるはずだ。

隣に座ったビジネスマンたちが、今後の業務予定の話や、取引先や同僚・上司への愚痴話に花を咲かせているのが聞こえた......という経験もあるのではないだろうか。

普段は「雑音」にしか聞こえない会話内容も、意識して聞けば、機密情報の宝庫だ。

さらに、悪意ある攻撃者にとってオイシイのは、多くの社会人が「社員証」をつけたまま、そういった機密情報を話しているということ。「担当者名」「取引先の会社名と顧客名（苗字のみでOK）」「案件のおおまかな内容」さえわかれば、第三者の「なりすまし」など簡単にできてしまう。

こんな電話、実は「なりすまし」かも？

たとえば、こんな「なりすまし電話」をかけることができる。

「〇〇株式会社の、△△の代理の者です。『例の受注の件なのですが、すみませんが社内稟議が下りず、なかったことにしてください』と、××さまにご伝言いただけますでしょうか。」

「例の、ご参加いただく予定のコンペですが、急きょ日付が変更となり、次週の月曜日になりまして......。先日お知らせしていた日時ではなくなりましたので、〇〇さまにご伝言ください。」

うっかりいつものように、「そうですか、承知いたしました！」と納得してしまいそうな巧妙な擬態だ。

むろん、メールアドレスがわかれば、メールでも同じ「なりすまし」が通用してしまうだろう。

「大企業だから大丈夫」？規模に関わらずリスクはある

2017年の暮れには、某大手航空会社が「関係企業になりすましたメール」が原因で、億単位の振り込め詐欺の被害「ビジネスメール詐欺（BECとも呼ばれる）」を受けた、というニュースがあった。

ある程度の実務経験があれば、「取引関連で顧客からそんな連絡があれば、念のため担当者本人に再確認するものでは？」と思うはずだ。

しかし、多忙だったり、対策が徹底されていなかったり、部署によってリスク意識に差があったりして、そういったリスク対策が万全ではないのが実態だ。

また、仮に本人確認を行ったとしても、そこで「なりすまし」の実態がわかれば、「どこかから情報が漏洩している？」「もしかして、この会社の担当者が、情報を漏らしたのでは？」といった疑念を大事な取引先や顧客に与えることになるだろう。

取引先との関係性を危うくさせたり、社の信用を失墜させたりするのは、実は簡単にできることなのだ。

セキュリティ対策の第一歩は、「悪意ある攻撃者の視点」に立って考えること

業務に関する会話を社外で交わすのは、「攻撃の意志」を持つ人にとっては"釣りエサ"でしかない。

たまたま居合わせたように見える人が、実は会社に打撃を与えようとしている人間だったら？
それで、もし自分の「うっかり発言」が聞かれて、悪用されてしまったら？

ミステリーやホラーの物語のような手口、「産業スパイ」など、遠い世界の話......と思うかもしれないが、悪意を持った人間が目的をもって行動すれば、こういう可能性も決してゼロではない。

また、「こんなことを考えるなんて、危険なやつだ！」とか、「会社に反感を持っていると思われる！」と思うかもしれない。

しかし、「（サイバー攻撃から情報を）守る」側にいるからには、「どんな攻撃をしてくるのか」、つまりサイバー攻撃者の心理を知らないことには、緻密な対策は立てられない。

まずは「敵を知る」ということが、情報セキュリティ対策の術を考える第一歩なのだ。

さいごに

最後に、あまりに当然のことで、あえて言うほどのことでもないが、こういったことを実行するのは「ダメ、ゼッタイ」。あくまで、セキュリティを考えるきっかけの可能性の話をしているだけで、そんなことで人生を棒に振ってはならないということを、書き添えておきたい。

〈　寄稿：『「サイバー攻撃者の視点」から考える、組織の情報セキュリティ対策』了　〉

組織の情報セキュリティ対策に、不安をお持ちですか？

• 備えあれば憂いなし。組織として「リスク」に備えるためにやるべきこと