デジタルでちょっと先の面白く、を考える情報マガジン『DIP

DIP Digital Innovation People

お問い合わせ

スイッチ

セキュリティー対策は組織的犯罪集団との戦いへ ハード・ソフト両面での対応を

IBMの調査によると、2015年のデータ侵害による件数あたりの被害平均額は3億8千万円と、途方もない金額であることが判明しました。サイバー犯罪を行う攻撃者が、特に価値の高いデータを盗み出す方針へと舵を切っていることも関係していると言われています。会社のセキュリティーを預かるIT管理者として、また一社員として、どのような姿勢でサイバー犯罪者と向き合うべきなのでしょうか。

サイバー攻撃は個人による攻撃から組織的な犯罪へ

世界で最も著名な兵法書のひとつである孫子の一節「彼を知り己を知れば百戦殆うからず」の言葉の通り、サイバー攻撃対策は、まずサイバー攻撃者の姿を理解する所からはじめる必要があります。

サイバー攻撃というと、いかにもギークな「個人」が、黙々と作業に取り組む姿を想像する方もいるかも知れません。しかし、先述のレポートでは、2015年は特に組織的な犯罪が目立ち、今後もそれが継続すると警告しています。犯罪組織では、平均年齢35歳前後の技術力を持ったエンジニアが、“同僚”と協業してサイバー攻撃を行っているといわれています。その光景は、シリコンバレーのスタートアップIT企業とほとんど変わらないかも知れません。まずはこの事実を認識し、組織的な犯罪に対しては組織的に対応する、という心掛けが重要になります。

複数のサイバー攻撃の組み合わせ:ハッキング+ソーシャルエンジニアリング

組織的なサイバー攻撃集団たちは、次々と高度な攻撃手段を編み出しています。昨年起こった事例として、悪意のあるハッカーが企業のメールサーバーをハッキングした上で、信用されやすいメールアドレスを生成。そのメールアドレスから経理担当に送金指示を行う、というサイバー攻撃が発生しました。被害額は、多いもので1億円にも達しています。

この事例のポイントは、メールサーバーのハッキング(=ハードの弱み)と、経理担当への送金指示というソーシャルエンジニアリング(=ソフトの弱み)の、2つのタイプの弱みが組み合わされている実習では、サーバ機とスマートデバイスを利用し、AR重畳表示アプリケーション(スマートデバイス上で動作するAR用のアプリケーション)の開発方法を習得します。点です。メールサーバーのハッキングだけでは、ここまで被害額の大きい事件にはならなかったでしょう。また、いかにそれらしいメールアドレスから送られた送金指示であっても、経理担当がメールを受信した際に少しでも疑いの意識を感じていれば、振込処理まで至らなかったかも知れません。ハードとソフトの両方の弱みを同時につくことで、巨額の犯罪を仕立てることに成功したのです。

ソフト面における対策と、個人の意識改革

セキュリティー担当者としては、アンチウイルスソフトの導入などのハード面での対策はもちろんのこと、定期的な研修や最新のサイバー犯罪情報の共有といったソフト面の対策にもより力を入れていく必要があります。抜き打ちの避難訓練のような、サイバー犯罪を装ったメールや事態を作りだして、社員にサイバー攻撃を疑似体験してもらうことも有効でしょう。

またもしあなたが一社員の場合は、まずサイバー攻撃は想像するよりもはるかに高度化しており、もはや怪しいメールアドレスについた添付ファイルは開かない、といった程度の心持ではあっという間にカモにされてしまうということを理解する必要があります。「人もセキュリティホールになりうる」という認識を持ち、少しでも普段と違う挙動(顔を知らない幹部から突然メールが来る、など)が起きた際には、本人への電話や上司への相談など、メールの内容についてダブルチェックを行う習慣をつけることが、あなたとあなたの組織を守ることにつながるでしょう。

参考文献

関連記事

無料メルマガに登録して最新情報を受け取ろう