中小企業にとっても他人事ではない…標的型攻撃メールによるセキュリティ事故【事例と対策】

今回は標的型攻撃メール（サイバー攻撃）についてお話します。これまでは大企業の問題で中小企業にとってはどこか他人事のようなテーマでしたが、昨今はそうも言っていられない状況になってきております。帝国データバンクが2022年3月に発表した調査によると、1カ月以内にサイバー攻撃を受けた企業は約3割にのぼります。うち27.7％が中小企業、26.4％は小規模企業でした。

2021年10月に起こった徳島県つるぎ町の町立半田病院の事件は衝撃的でした。悪意のある第三者が病院のシステムに侵入して情報を暗号化。復旧と引き換えに金銭を要求するコンピューターウイルス“ランサムウエア”に感染してしまいました。約8万5千人分の電子カルテが閲覧できない状態になり、実質患者の受け入れが不可能な状態にまでダメージを受けてしまいました。ごく最近ではトヨタ自動車の部品をつくるサプライヤー企業もサイバー攻撃を受けて生産停止などの被害を受けています。

もはや全国的に知名度の無い中小企業にとっても、標的型のサイバー攻撃に対して無策ではいられなくなっています。

標的型攻撃メールとは

サイバー攻撃には、冒頭で紹介したメールの他にも改ざんされたウェブサイトへのアクセス（業務上必ず使うサイトを絞って偽サイトを用意するなど）やUSBドライブなどの物理的アクセスによる侵入を試みる攻撃などもあります。今回は一番ケースが多いメールによる攻撃を取り上げます。

標的型攻撃メールとは、明確な目的を持って特定のターゲットに仕掛けるサイバー攻撃のことです。その手段としてメールを介して内部の関係者にアクセスし、メールシステム経由で社内のシステムに侵入するサイバー攻撃の一種です。

攻撃の主な目的は、攻撃対象への嫌がらせや金銭的利益を得ること。盗み出した情報を売り渡すことや、社内システムに対する破壊行為を盾に身代金を請求する場合が多いです。

攻撃が成功してしまうと、企業・団体が保有している知的財産が盗み出されたり、社内システムを破壊して利用できなくなったりすることで経済的に甚大な被害を受けてしまいます。さらに、知的財産の侵害による金銭的被害の他にも、顧客の個人情報など企業にとって致命的な情報が流出するリスクもあるため注意が必要です。

また、前述のように有名な大企業ではなくとも標的型攻撃のターゲットとなる例があり、中小企業も他人事としておくことはできません。いざ攻撃されてから後悔するようなことになっては取り返しのつかない大きな被害を受けてしまうことになります。

標的型攻撃メールの代表的手口

出典: 【IWJ】Image Works Japan / PIXTA(ピクスタ)

手口は、関係者などになりすましたメールを標的企業・団体の従業員に送付。そのメールに文書や必要な資料などに偽装したウィルスを添付し、業務用端末（パソコン・スマホ）で開かせるというもの。メールを介した代表的な手法として以下のような攻撃があります。

マルウェア

悪意のあるソフトウェアを総称してマルウェアと言います。開いたPCやシステムをロックしてしまったり、継続的に侵入を続けるための入り口を作るものだったりと種類は多様ですが、開いた端末にインストールされてしまうと乗っ取られてしまったり、気づかないまま不正な操作を端末内で行われ続けてしまうことになります。

一度社内のネットワーク内にマルウェアが侵入してしまうと、攻撃に対処する方法はネットワークを物理的に遮断する以外にはありません。どの部分がマルウェアに汚染されているか確認することはできないので、ネットワーク内の部分遮断をしても攻撃の防御が万全にはなりません。

フィッシング詐欺

メールに記載されている偽のウェブサイトへのリンクを経由してIDやパスワードを盗み出します。パソコン内に保存されているパスワードのリストをアプリケーション内の設定情報を勝手に盗み出すなど、多様な手口を使って攻撃対象の情報漏えいを狙ってきます。

ビジネスメール詐称

巧妙に偽装されたメールを使って、偽の口座へ現金を振り込ませたり商品を発送させたりなど旧来型の詐欺に近い手法です。メールの文面や設定・見栄えが巧妙に偽装されていると、直感的に疑うことなくメールの内容を信じてしまうことが多いという心理的な盲点を突いています。これまでは文面が英語や明らかに機械翻訳を使った拙い日本語のものが多かったため、内容を読むと違和感に気づけることが多かったのですが、最近は偽装が高度に巧妙化しており一見して見破ることが難しくなってきています。

標的型攻撃の対策方法

標的型攻撃を防ぐには、従来のセキュリティ対策ソフトだけでは不十分です。近年は従来のセキュリティソフトでは検知できない標的型攻撃が増加しており、一度マルウェアが侵入すると攻撃に対処することは不可能です。インターネットからの入口部分をブロックする従来のセキュリティソフトと併せて、PC内部や社内ネットワークにおけるセキュリティも強化することがまず必須条件です。その上で、前段でご説明したとおり、標的型攻撃に対処するにはまず何よりも最初の接触時に侵入させないこと、これに尽きます。

不審なメール・ソフトを開かない

とにかく心当たりの無いメールは開かないことを徹底するのが最初に必要な意識です。多くのセキュリティ事件の発端は“メールを開いてしまった”・“添付ファイルを開いてしまった”ことに起因しています。

メール送受信時には必ずセキュリティソフトやOSの設定、およびメールについてもウィルスチェック機能を利用し、フィルターを通すことは絶対に必要です。それでも標的型攻撃メールの場合はフィルターを通過してしまうことも多いため、怪しいメールや添付ファイルは絶対に開かないことを徹底しなければなりません。

ビジネスメール詐称の項目でもお伝えしましたが、最近はメールの偽装も大変巧妙になってきており、一見するといつもの取引先企業のメールなのにメールアドレスのドメイン（＠の右側）が異なるアドレスから送られてくる……ということも非常に増えてきています。メールの受信箱に入っているメールには、必ず怪しいメールが紛れ込んでいるくらいの意識が必要です。

OS・ソフトウェアの更新

出典: mrmohock / PIXTA(ピクスタ)

不正プログラムは、OSやソフトウェアの脆弱性に対しても攻撃してきます。脆弱性を解消するためには、常にOSやソフトウェアは最新のプログラムを適用しなければいけません。特にOSやブラウザに関しては、自社のセキュリティポリシーとの適合性を確認されていないという理由で旧版を利用し続ける企業・団体がありますが、この考え方は非常に危険です。

自社の考えるセキュリティ対策と、常に攻撃にさらされているOS・ソフトウェアの提供企業のどちらがよりしっかりとしたセキュリティ対策を考慮しているかを比較して冷静に考えれば、どちらの対策適用を優先するべきかは考えるまでもない選択だと筆者個人は考えます。

従業員の教育

従業員へのセキュリティ教育は必須です。社内のPC他、ネットワークにつながる機器の取り扱い注意やセキュリティに関する知識をはじめ、実際に標的型攻撃の的になった際の対応レベルまで、しっかり把握できるような内容に噛み砕いて教育することが必要です。

その際、対応を怠った場合、会社にどのようなダメージを与えるのかまでしっかりと伝えましょう。年金機構の情報漏えい事件のように具体的な例を挙げ、安易な一人の職員の過失が甚大な被害をもたらすことを各人が真摯に受け止めることで多くの事故を回避することが可能です。

セキュリティ対策製品の導入

前述したとおり、標的型攻撃は従来のウィルス検出ソフトでは検出が難しい場合もあります。そのため、標的型攻撃に対応したセキュリティ製品の導入も検討することも有効な手段です。市場には多く製品が提供されています。

メールの流量自体を減らす

企業によってはメールの利用自体を最小限にして、メールによる攻撃が侵入できる可能性を低減しているところもあります。ニッポンレンタカーアーバンネット株式会社では、社内のやりとりをすべてビジネスチャットに切り替えてメールの社内利用を禁止しました。メールは最小限に外部の取引先/お客様とだけに絞ったところ不正なメールが検知しやすくなりセキュリティ対策の負荷も軽減することができたそうです。

最も重要なのは「他人事ではない」意識付け

これまで大きなセキュリティ事故の被害にあった企業・団体はどこも「まさか自分たちが」と思っていたことと想像されます。人はどうしても未発生のリスクに対して軽視してしまいがちなものです。日本各地、世界で頻発しているセキュリティ事故を、他山の石として備えを置くことを急務としてセキュリティ対策を開始・継続しましょう。

【こちらの記事も】情報は財産からリスクに…？罰則が強化「2022年個人情報保護法改正」の要点まとめ

【参考】
サイバー攻撃に関する実態アンケート / 帝国データバンク
導入事例 / LINEWORKS

*naka、【IWJ】Image Works Japan、mrmohock / PIXTA(ピクスタ)