セキュリティ

サイバー攻撃者の視点で組織の情報セキュリティ対策を考える②

前編はこちらから:
攻撃者の視点で組織の情報安全対策を考える(前編)

本稿は、M・S氏(詳しくは前編をご覧ください!)による「攻撃する側の視点」から考える、組織を標的としたサイバー犯罪の手口についての寄稿コラムです(前編・後編の2編です)。

目次

その「何気ない会話」、機密情報がたれ流しかも?

もうひとつ、組織にとって盲点ともいえるのは、
ITの力を使わない、いわばアナログなやり方で機密情報を傍受され、「なりすまし」被害に遭うことだ。

スパムメールの大量送信よりも、さらに用意周到で悪質な手口だが、
攻撃対象の組織の関係者が出入りする飲食店などに出向いて、関係者たちの会話を盗み聞きし、
その情報をもとに「なりすまし電話」をかける、というものがある。

多くの社会人が、昼のランチタイムに近所の飲食店に出かけることがあるだろう。
同行者がいるなら、オフィスではできない仕事話をアレコレ話したくなるはずだ。

隣に座ったビジネスマンたちが、今後の業務予定の話や、取引先や同僚・上司への愚痴話に花を咲かせているのが聞こえた......という経験もあるのではないだろうか。

普段は「雑音」にしか聞こえない会話内容も、意識して聞けば、機密情報の宝庫だ

さらに、悪意ある攻撃者にとってオイシイのは、多くの社会人が「社員証」をつけたまま、そういった機密情報を話しているということ。「担当者名」「取引先の会社名と顧客名(苗字のみでOK)」「案件のおおまかな内容」さえわかれば、第三者の「なりすまし」など簡単にできてしまう

こんな電話、実は「なりすまし」かも?

たとえば、こんな「なりすまし電話」をかけることができる。

〇〇株式会社の、△△の代理の者です。『例の受注の件なのですが、すみませんが社内稟議が下りず、なかったことにしてください』と、××さまにご伝言いただけますでしょうか。

例の、ご参加いただく予定のコンペですが、急きょ日付が変更となり、次週の月曜日になりまして......。先日お知らせしていた日時ではなくなりましたので、〇〇さまにご伝言ください。

うっかりいつものように、「そうですか、承知いたしました!」と納得してしまいそうな巧妙な擬態だ。

むろん、メールアドレスがわかれば、メールでも同じ「なりすまし」が通用してしまうだろう。

「大企業だから大丈夫」?規模に関わらずリスクはある

2017年の暮れには、某大手航空会社が「関係企業になりすましたメール」が原因で、億単位の振り込め詐欺の被害「ビジネスメール詐欺(BECとも呼ばれる)」を受けた、というニュースがあった。

ある程度の実務経験があれば、「取引関連で顧客からそんな連絡があれば、念のため担当者本人に再確認するものでは?」と思うはずだ。

しかし、多忙だったり、対策が徹底されていなかったり、部署によってリスク意識に差があったりして、そういったリスク対策が万全ではないのが実態だ。

また、仮に本人確認を行ったとしても、そこで「なりすまし」の実態がわかれば、「どこかから情報が漏洩している?」「もしかして、この会社の担当者が、情報を漏らしたのでは?」といった疑念を大事な取引先や顧客に与えることになるだろう。

取引先との関係性を危うくさせたり、社の信用を失墜させたりするのは、実は簡単にできることなのだ。

セキュリティ対策の第一歩は、「悪意ある攻撃者の視点」に立って考えること

業務に関する会話を社外で交わすのは、「攻撃の意志」を持つ人にとっては"釣りエサ"でしかない

たまたま居合わせたように見える人が、実は会社に打撃を与えようとしている人間だったら?
それで、もし自分の「うっかり発言」が聞かれて、悪用されてしまったら?

ミステリーやホラーの物語のような手口、「産業スパイ」など、遠い世界の話......と思うかもしれないが、悪意を持った人間が目的をもって行動すれば、こういう可能性も決してゼロではない。

また、「こんなことを考えるなんて、危険なやつだ!」とか、「会社に反感を持っていると思われる!」と思うかもしれない。

しかし、「(サイバー攻撃から情報を)守る」側にいるからには、「どんな攻撃をしてくるのか」、つまりサイバー攻撃者の心理を知らないことには、緻密な対策は立てられない。

まずは「敵を知る」ということが、情報セキュリティ対策の術を考える第一歩なのだ。

さいごに

最後に、あまりに当然のことで、あえて言うほどのことでもないが、こういったことを実行するのは「ダメ、ゼッタイ」。あくまで、セキュリティを考えるきっかけの可能性の話をしているだけで、そんなことで人生を棒に振ってはならないということを、書き添えておきたい。

〈 寄稿:『「サイバー攻撃者の視点」から考える、組織の情報セキュリティ対策』了 〉

組織の情報セキュリティ対策に、不安をお持ちですか?

関連記事

前の記事

一覧

次の記事