Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

怪しいメールを開いてしまった後の対策を――セキュリティオンライン週報コラム

  2015/06/08 13:00

 今回は先日セキュリティに関するセミナーで出てきた余談から。講演者が少し前にフィッシングらしいメールを受信したそうです。「あなた宛に海外貨物便が届いているから、こちらをクリック」というような。

 比較的有名なパターンですよね。ほかにも昔からありがちなのは遠い外国の富豪から、あるいは海外の銀行から。「ロトが当たりました」なんてのもありましたね。どれも不審なサイトへのリンクをクリックするように促すものです。どれも踏まない(クリックしない)ことに越したことはありません。「華麗にスルー」が大事です。  

 かつてはフィッシングといえば英語ばかりでしたので、それはそれで分かりやすかったです。「英語のメールは開かない!」と割り切る方もいました。英語圏からメールが届くことがなければ無敵ですね。

 日本語のフィッシングメールもあります。当初は違和感のある日本語が多く、これはこれでフィッシングと見分けやすかったです。しかし近年ではフィッシングメールでも日本語が上手になってきて危険です。  

 それはさておき、今回届いたメールは英文でした。講演者はセキュリティの専門家でしたのですぐに怪しいと勘づきました。しかしそのときは不運でした。ちょうど海外出張があったばかりで、荷物にも少し身に覚えがあったそうです。「あれかな?いや……違うはず」と思いつつも、気になってしまいました。

 ちょっと身に覚えがあったのと、本当に危険なら気づくことができるという自負もあり、試しにクリックしてみようと思ったそうです。  

 しかし専門家ですから、うかつにクリックはしません。できる限り自分に害が及ばないように慎重に進めました。例えていうなら、警官が不審な場所に踏み入れるような感覚でしょうか。プロだから侵入できる、かのような。  

 順番は定かではありません。ご容赦を。ブラウザをプライベートブラウズモード(履歴を残さないモード)にすること、万が一の事態が起きたらパソコンのネットワークを遮断する(ネットワークケーブルを外す)準備もしました。加えてあやしげなリンクのURLを確認し(もちろんメールの表面上で見えるURLではなく実際にリンクされているURLです)、それにつながるIPアドレスも調べ、そのIPアドレスの危険度も最新のセキュリティ情報から確認しました。調べたところ、そのリンク先の危険度はそう高くないことが分かりました。  

 「よし」 。クリックしたのです。そうしたら何が起きたと思いますか。開いた先はアンチウィルスベンダーのサイトでした。つまりこれはフィッシングメールに似せたメールだったのです。何のためかというと啓発のため。  

 「だめじゃないですか、こんなメールクリックしちゃ!」

 もちろんこんなカジュアルな文言ではないものの、要旨としてはこのように警告と反省を促すものでした。抜き打ちの訓練というところでした。用意周到にリンクを踏んだ方は肩すかしというか、意気消沈してしまったそうです。顔文字で表すなら「orz」という感じに。  

 そういえば最近藤沢市では抜き打ちでIT職員にニセの標的型メールを送付したそうですね。こういう訓練は大事ではないでしょうか。  

 最近ではかつてのように「いかにもフィッシングメール」と見え見えのメールではなく、とても本物らしく推敲されたメールで攻撃が仕掛けられることもあります。今後ますます巧妙になるでしょう。  

 不審なメールと勘づいたら、開かないのが一番ではあるものの、本物という可能性もあるのならどのような準備が必要なのでしょうか。先述した例で示したほかに必要な手順はあるのでしょうか。より早く危険に気づくことができて、危険と気づいたら被害を最小限にするならどのようなポイントを押さえておけばいいのでしょうか。そういうノウハウも普及させていくべきではないでしょうか。  

 セキュリティ関係で取材をすると異口同音に語られるのは「攻撃を受けることを前提に準備をする」という心構えです。かつては「絶対に攻撃を受けないように」と盤石な城壁を築くことが目標とされてきました。  

 しかしどんなに守りを固めても、どこからかするすると入られてしまう可能性は否定できないのです。普通に出入りできるる人がいるのですし。内部不正というのもあります。近年では「守りを固めること」よりも「被害が起きたら早く気づくこと」が重視されています。これは前提が大きく異なります。前者は攻撃を受けないことが前提であり、後者は攻撃を受けた後を想定しています。  

 先日はプライスウォーターハウスクーパースの説明会にて「レジリエンスセキュリティ」(参考記事)という表現もありました。これも攻撃を受けたことを想定し、そこからいかに早く立ち直るかに着目した概念です。この用語を使うかどうかは別として、セキュリティ専門家の間の共通認識を表しています。  

 似たような用語として「ダメージコントロール」というのも聞いたことがあります。もともとは医学や軍事用語だそうです。何らかの損傷を受けたときに被害をできる限り食い止めるための応急処置や設備などです。セキュリティなら監視のための各種ソフトウェアやサービスなどです。  

 最近問題になった年金情報流出にて職員が開いてしまったメールが巧妙かどうか、いろいろと議論の余地はあるようですが、今後攻撃がますます巧妙になることは確実です。誰かがうっかり引っかかってしまったとしても、被害の拡散を最小限に抑えるための情報管理体制や対処ノウハウの共有なども今後ますます重要になるのは確実かと思います。

 



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

バックナンバー

連載:週報コラム:セキュリティ オンライン 加山恵美

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5