2022/12/20

今、企業が最も取り組むべき「標的型攻撃メール対策」とは

中野 佑也
NewsPicks Brand Design editor
 社内メンバーや取引先から届いた業務に関するメール。知っている人の名前が入っていて、参考資料として添付ファイルがついている。業務でよくあるシーンだ。
 しかし、もしもこれが外部の悪質な攻撃者からのメールで、添付ファイルにウイルスがついていたら──。あなたは見抜けるだろうか?
 今、企業の情報セキュリティリスクが増大している。中でも、特定の企業をターゲットにして巧妙に作り込まれた「標的型攻撃メール」への対策が急務だ。
 従来のセキュリティ対策をすり抜けてくる「標的型攻撃メール」の手口とはどのようなものか。そして、企業やビジネスパーソンはどんな対策をすべきなのか。
 企業向け情報セキュリティコンサルティング事業や情報セキュリティ向上クラウド「セキュリオ」を展開するLRM株式会社 CEOの幸松哲也氏に、「標的型攻撃メール」の脅威と必要な対策について話を聞いた。

巧妙化するサイバー攻撃

──近年、サイバー攻撃のトレンドはどのように変化しているのでしょうか。
幸松 端的にいえば、サイバー攻撃をマネタイズする手法が確立されたことで、「ビジネス」の側面が顕著になってきていると考えています。
 ひと昔前のサイバー攻撃といえば愉快犯的な攻撃がほとんどでしたが、近年ではビジネス目的で企業が標的にされるケースが主流となっており、高度化・組織化が進んでいます。
 特に対策が必要とされているのが「標的型攻撃」と呼ばれる領域で、コンピューター端末やスマートフォン、メールなどを介する攻撃によって多くの企業が被害を受けています。
 例えば、最近よくあるのがランサムウェアを感染させて身代金を要求するケースです。攻撃者はメールの添付ファイルやURLにコンピューター端末へのアクセスを制限させるウイルスを仕込み、誤ってそれらをクリックした人に対し攻撃者は端末を元に戻すことと引き換えに、身代金を要求します。
 被害が自社内にとどまればまだ良いほうですが、ウイルスは感染した端末から自社のネットワークに侵入するだけでなく、取引先に広がってしまうこともあります。
 そうなると、最悪のケースが待っています。
 個人情報の流出危機、顧客からの信用失墜に加え、システム復旧、問い合わせや謝罪対応の費用などが発生し、業務停止による売上機会の損失もあり、事業に甚大な被害をもたらす可能性があるのです。
 実際、2022年3月にはトヨタ系列の部品メーカーが攻撃を受けてシステム障害が発生し、サプライチェーン全体に影響が及んだ事例もありました。
──そうした事例は耳にしたことがありますが、大企業が主に狙われているイメージです。
 規模の大きい企業や施設が被害を受けるとニュースになりやすいですし、特許や顧客の個人情報などを持たない会社は「うちには狙われるようなデータはない」と思うかもしれませんが、狙われるのは大企業ばかりではありません。
 攻撃者側の視点で考えるとサイバー攻撃はある意味「仕事」であり、収入の可能性があるならば、事業規模や業種を問わず標的になり得ます。
 また、これまでの被害事例をみると、彼らも仕事である以上、単に攻撃するだけでなく、企業から確実にお金を回収するためのノウハウも洗練されてきています。
 実際に、当社のお客様で、システム復旧の代わりに300万円台の身代金を要求されたケースがありました。
 他の事例をみても、会社の規模から考えて「ギリギリ払えるかも……」というラインをついて交渉してくることが多く、内々で処理するだけに留めて泣き寝入りする企業も多いのです。

自社を名指しした「標的型攻撃メール」が増加中

──なるほど。そうした損害を被らないために、企業はどんなことに気をつけておけばよいでしょうか。
 ウイルス感染による被害を防ぐためには、とにかくその「入り口」には注意しておくべきでしょう。
 これまではウイルスがついたスパムメールをランダムな宛先に一斉に送信するような、「ばらまき型」の手口が多くみられました。
 スパムメールであればサーバで一定数ははじくことができますし、仮に受信しても言葉遣いやメールの内容がおかしいといった理由から、スパムだと気づきやすいですよね。
 しかし、近年は手口が巧妙に進化し、特定の企業や人物にターゲットを絞った「標的型攻撃メール」が増えています。
 標的型攻撃メールは、ターゲットの情報を事前に調べ、例えば「NewsPicks営業部 ○○様」のように自社の具体的な部署や担当者を名指しして、業務に関係がありそうな内容のメールを送ってきます。
 そしてターゲットが添付ファイルを開封したりメール本文に記載されたURLをクリックすることで、ウイルスに感染させるのです。
──それほど具体的にターゲティングされるんですね。スパムメールのように文章に違和感はないのですか?
 はい。メール本文の内容も非常に作り込まれています。
 例えば、人材会社や人事部に対して、「人材サービスに登録したい」「採用面接を受けたい」という内容で履歴書が添付されている。
 小売企業に対しては、「おたくの商品を買ったら初期不良だった。写真を送るから確認してほしい」という内容で画像が添付されている。
 メディア企業に対しては、「取材してほしい企画がある」という内容で資料のURLが貼りつけられている。
日本語で書かれた標的型攻撃メールの例。宛先やメール文面など、ターゲットの所属や属性を踏まえた内容となっている。
出典:IPA「Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて,図16」https://www.ipa.go.jp/security/announce/20191202.html
 このように、各業界や企業の業務内容にあわせて巧妙なメールを送られ、これらの添付ファイルやURLにランサムウェアが仕込まれているというわけです。
 社内メールに扮した場合だと、例えば経営層やマネージャーから「次の組織変更はこんな感じで考えています」という内容で組織図が添付されているのも、よくある手口です。
 あるいは、取引のある社外の企業とのやりとりが外部の攻撃者に覗き見されていて、メールの返信を装ったケースもあります。「すみません、先ほどいただいた見積書の内容について、追加で修正をお願いします。資料はこちらです」とURLが貼りつけられている。
──なるほど。それまでの文脈を踏まえてメールが送られてくる、というわけですね。これは引っかかってしまいそうです……。
 社内に情報システム部署があり、セキュリティ対策をしっかりしている大企業であっても、「標的型攻撃メール」は業務メールのフリをしてセキュリティの隙間をすり抜けてきます。
 被害に遭った後ならば気づくかもしれませんが、それでは後の祭りです。これが標的型攻撃メールの厄介な特徴でもあります。

「対策したつもり」になっていないか

──そうなると、どのように対策をすればいいのでしょうか?
 まずはシンプルに標的型攻撃メールそのものについて「知る」こと。これが一番重要です。
 手口の巧妙さはもちろん、それによって誰もが被害に遭う可能性があること、そして標的型攻撃メールを介してウイルスに感染してしまうとどのような損害を被ってしまうのか。そのリスクを一部の情報システム責任者だけでなく、従業員一人ひとりが知っておく必要があります。
「自社が攻撃されるわけがない」「自分は怪しいメールに引っかかるはずがない」と思い込まず、自分も標的型攻撃メールのターゲットにされる前提で備えておくべきです。
 セキュリティを強化したとしても攻撃者側はいずれ破ってくるため、最後は人が気づくしかありません。そのためにも、企業は従業員に対して標的型攻撃メールのリスクや手口を啓蒙し、標的型攻撃メールを見分けるトレーニングをすることが重要です。
──セキュリティ研修を実施することで認知や啓蒙を行っている企業も多そうですが。
 セキュリティ研修は「情報共有」という点で一定の効果があると思います。
 ただ、誤解を恐れずにいえば、年に一回講習を実施して「気をつけましょうね!」で終わってしまってはあまり意味がありません。その場限りのイベントと捉えてしまうと、結局、終わってしまえばすぐに忘れてしまうものですから。
 あるいは、「自分の業務と関係ない」「今忙しいのになぜ参加しないといけないのか」と不満に思う従業員もいるでしょう。正直、情報セキュリティ講習なんてほとんどの人が受けたくないはずです。
 では、勉強したくない人に勉強してもらうためにはどうすればいいか。
 あえて荒っぽい言い方をするのであれば「自分が被害に遭うこと」、これが最も効果的です。
 自分宛に怪しいメールが届く。怪しいメールをうっかりクリックしてしまう。こうした経験を積み、自分事として捉えられれば、自分に足りない知識を知ることにつながります。
 そして、日々の業務と関係させて何度も繰り返しトレーニングを行うことで、情報セキュリティのリテラシーを高められます。
 ただ、本当にランサムウェアに引っかかるわけにはいかないので、トレーニングには専門のサービスやツールを活用するのが効果的でしょう。我々は、そういったトレーニングや教育なども含めた、情報セキュリティ向上クラウド「セキュリオ」を提供しています。

標的型攻撃メール対策を可能にするツール、「セキュリオ」

──セキュリオにはどんな機能があるのでしょうか。
 セキュリオは従業員の情報セキュリティに対する意識向上や教育、トレーニングするためのさまざまな機能があり、そのひとつが、「標的型攻撃メール訓練」です。
 擬似的な標的型攻撃メールをテンプレートから選んで作成し、従業員に配信することができます。回数制限なく送れるので、「今週は営業に、来週は経理に」と部署ごとに内容を変えて訓練することも可能です。
 メールを送った従業員のうち誰が開封し、添付ファイルをクリックしたか。フィッシングサイトで情報を入力したかなどを確認できるため、自社の現状把握に加えて、対象者の情報セキュリティ意識のレベルにあわせた教育を実施することもできます。
──例えば、どんなメールを配信できるのですか?
 実際のセキュリオの活用企業の事例としては、社長の名前とその会社の顧問弁護士の名前を入れて「M&Aの話があるから資料がほしい」という内容の訓練メールを配信された企業がありました。
別の標的型攻撃メールの事例。セキュリオの訓練メールはこうした実例を参考に文面が作成されている。
出典:IPA,「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(第三報),図1」https://www.ipa.go.jp/security/announce/2020-bec.html
 すると、約10%の従業員が引っかかったという結果に。このときは新入社員やバックオフィス部門の社員が多かったようです。
「標的型攻撃メール」の被害を防ぐためには、いろいろな手口を知っておくことが大切です。
 その他のお客様の事例では、まず、訓練メールを四半期に一度で始めて、社内の状況が可視化されることで、経営層のセキュリティ意識が深まり、さらにそこから、経営層の支持を得て、毎週配信にしたことで、従業員の情報セキュリティ意識変革が進んだケースもあります。
──情報セキュリティ教育が必要な従業員に対しては、どのような教育を行うことができますか?
「セキュリオ」では、2300社以上のセキュリティコンサルティングの実績を基に、当社のセキュリティコンサルタントが監修したeラーニングのコンテンツを豊富に用意しています。
情報セキュリティの基本的な知識や最新の事例のほか、ISMS認証(※1)やPマーク(※2)取得用のコンテンツなどがあり、企業の目的にあわせた活用が可能です。
※1 ISMS認証 情報セキュリティを管理する仕組みのことで、「機密性」「完全性」「可用性」の3要素を満たす必要がある。
※2 Pマーク 事業者が個人情報の取り扱いを適切に行う体制等を整備していることを評価し、その証として“プライバシーマーク”の使用を認める制度のこと
 例えば、従業員の入れ替わりが早いスタートアップの場合、情報セキュリティ教育が追いつかないこともあります。こうした企業で、セキュリオのeラーニングを活用して従業員に学習してもらっているケースが増えています。
 また、定期的に理解度テストを実施する機能もあり、従業員ごとの解答状況や苦手なカテゴリ、さらには全社のスコア推移やグループごとのリテラシー状況もすべて数値・グラフ化されるので、直感的に社内のリテラシー状況を把握できます。
データリテラシー状況を数値化した例。部署などのカテゴリごとに成績をつけ、一覧で確認できる。
 継続的なトレーニングによって「知識を知っている」だけではなく、従業員それぞれの立場で抱えるリスクを認識し、意識改善を行っていく。
 我々はこうしたプロセスを「セキュリティ・アウェアネス」と呼んでいますが、セキュリオは標的型攻撃メールの訓練だけではなく、「訓練+教育+アウェアネス」を一気通貫で実現できるのも強みとしています。
──今後、企業の情報セキュリティ対策はどうなっていくべきだとお考えですか?
 情報セキュリティのリテラシーは一朝一夕では身につきません。「標的型攻撃メール」などの擬似体験を繰り返して自分事化し、地道に知識をアップデートしていく。これしか方法はありません。企業にはそのための環境を整えることが求められていくと思います。
 一方で、何も被害に遭っていないときは、「これまでも問題なかったし、この先も何も起こらないのでは。なぜ費用を払う必要があるのか」という発想になりやすい。
 しかし、企業活動におけるデジタルデータの比重が増えているなかで、もはや情報セキュリティ対策は企業活動を支えるために必要不可欠な投資です。
 これは、人の健康維持と同じですよね。病気を患ったときや、健康診断のときは意識が高まりますが、すぐに忘れてしまいます。でも、本当は常日頃から健康を意識した生活をしたほうがいいですよね。
 これまで情報セキュリティ対策は社内の情報システム担当に任せておけば基本的には大丈夫でした。しかし、サイバー攻撃の手口が高度化し、デジタル化によって侵入経路が複雑になっているなか、情報セキュリティ対策はすべてのビジネスパーソンに関係する重要事項です。
「デジタルは苦手。自分には関係ない」では、もう済まされない。従業員一人ひとりが情報セキュリティの意識を高く持ち「自分事化」できるよう、我々もセキュリオを介してサポートをしていきたいですね。
文:村上佳代
撮影:茂田羽生
デザイン:Seisakujo inc.
編集:中野佑也、海達亮弥