最近、企業を標的とした標的型攻撃による数百万件クラスの大規模な情報漏えいのニュースが後を絶ちません。毎年大きな情報漏えい事故が続いています。(JTB、顧客情報793万人分流出か 取引先装うメール (2016/6)、年金機構の125万件情報流出 職員、ウイルスメール開封 (2015/6)、ベネッセ HD、顧客情報漏洩 最大2070万件 (2014/7)、など) 警察庁の発表によれば、標的型メール攻撃の報告件数は昨年急増しており年間 3,800 件に及ぶといいます。これは日本全国で 1 日平均 10 件以上起きていることになります。犯罪に気づかないケースも含めるともっと多くの標的型攻撃が実際には行われていると言ってよいでしょう。
また、今年 4 月に全世界を揺るがす史上最大のリークとなった「パナマ文書」の暴露は、メールのハッキングによりリークされたものであることが明らかになっています。
このように、組織・企業と外部とのやり取りの最大の口であるメールがサイバー犯罪の対象として狙われるリスクは日に日に高まっています。なぜ、このような犯罪が減らないのかについて犯罪者の立場から考えてみましょう。TrustWave 社の調査によると、マルウェア攻撃による犯罪の投資対効果 (ROI) はなんと 1425% にも及ぶという結果が出ています。このようなとてつもない利益率を誇る仕事は犯罪者の目にはとても魅力的に映ることでしょう。この利益率が仕組み的に減らない限りは、マルウェア攻撃による犯罪は今後もなくならない可能性が高いのです。
ですので、サイバー攻撃への対策は利用者側でしっかりと行っておく必要があります。また、技術は日進月歩ですので、常に最新の動向を追いかけ、最新の手口も防ぐことができる対策を行っておく必要があります。サイバー犯罪への対策を考えるにあたっては、住居・事務所へのどろぼうをどう防ぐか、に倣って考えてみるとわかりやすいかと思いますので、比較しながら進めます。
お客様に対策を提案するにあたっては、以下の 3 つのことをご提案してみましょう。
1. 防御技術は最新のものの導入を勧めよう
住居や事務所をどろぼうから守る手段は「鍵」ですが、ちょっと前にピッキング被害が広がってから、ディンプルキーや非接触型キーなどの比較的犯罪に強い新しいタイプの鍵の導入が進んできています。このような鍵は新しい物件では多いですが、従来の古いタイプの鍵がまだまだ多数派として残っているのが現実です。実は IT の世界でも同様で、世界中で認知されたサーバー攻撃の実に 1/6 以上 (日本ではランキング 第 5 位) に Conficker というワームが関係しているというデータがあります。しかし、Conficker が利用する OS の脆弱性に対する更新プログラムは、マイクロソフトから 2008 年にリリース済みなのです。つまり、8 年も前に対策がされたものをまだ導入していない PC が実に多いのです。
古い技術が危険になる例としては、ほかには最近では SSL の脆弱性がもっとも有名でしょう。昔は最先端で安全だった技術も、時間がたてば攻略法が発見され、無防備な状態になってしまいます。SSL はすべての OS 上で無効にされ、TLS などの代替技術で置き換えられるといった対策がとられました。
Conficker や SSL の例からわかるように、最新の防御技術を導入することで多くの攻撃から身を守ることが可能です。メールですと、最近は Office 365 Advanced Thread Protection と呼ばれる、 添付ファイルを攻撃されてもいい仮想環境の中に隔離して疑わしい挙動を確認する仕組みや、Office 365 Advanced Security Management と呼ばれる、行動分析や機械学習により脅威を検出する仕組みが利用できるようになります。メールはスパム/ウィルスフィルタリングで対策をしていればいいという時代はもう終わっています。
2. 多層防御で突破される確率を下げよう
いくら最先端の優秀な防御システムを導入したとしても、それによって 100% 安全、ということにはなりません。住居・事務所の玄関にオートロックを導入したとしても、かいくぐる技が知られています。時間が経ってくると攻略法が見つけられてしまう可能性もあります。また、正面入り口にばかり気を取られていると窓やベランダから侵入されてしまったりします。
IT の安全を守るのも同じで、仮にひとつの防御技術が突破されても、別の方法でブロックできるよう、様々な角度から多層的に防御システムを展開するのがおすすめです。メールでいえば、まず優れたセキュリティ機能を備えた安全性の高いメール システムを選択したうえで、メールシステム側でスパム・ウイルスフィルタリングをかけ、さらに ATPやASMでも防御して、最後に OS 側でも最新のバージョンと Windows 10 Defender ATP のような脅威発見技術を使う、といった形です。
3. 最後はユーザーの意識~セキュリティ教育・企業文化の提案をしよう
サイバー攻撃への対策は防御システムへの投資だけでは不十分です。最後は利用者の意識を高める必要があります。優秀な防御システムも利用者が意識をしていないと穴だらけになる可能性があります。住居・事務所でいえば鍵をかけなかったり、不審者がいても声をかけずに見過ごしたり、オートロックの隣の窓を開けっぱなしにしていたり、ということをしていては、防御システムは簡単に破られてしまいます。利用者 1 人 1 人がその意味を理解して実践することで、サイバー攻撃への防御力が上がります。
いかがでしたでしょうか。お客様をサイバー攻撃から守るには、上記の1~3をすべて適切に提案し、実装いただく必要があります。特に 3 になるとシステムの問題だけではなくなってきますが、社員教育も含めた総合的なコンサルティングが求められていますので、ぜひ忘れずにご対応いただきたいと思います。