GTM-MML4VXJ
Skip to main content

富士通マーケティング

English

Japan

  1. ホーム >
  2. ICTのmikata >
  3. コラム >
  4. 第01回 「危険なメール=知らない人からのメール」と思っていませんか?

第01回 「危険なメール=知らない人からのメール」と思っていませんか?

調査データから学ぶ:一歩先行くIT活用の勘所

株式会社ノークリサーチ
シニアアナリスト 岩上 由高氏

2015年12月10日更新

日本年金機構は不正メールをなぜ開封してしまったのか?

2015年5月、不正メールによる外部からの攻撃により日本年金機構から100万人を超える個人情報が流出しました。ニュースでも大きく取り上げられたので、ご存知の方も多いかと思います。「怪しいメールは開かない」というのはITを活用する上では既に常識と言えるでしょう。それにも関わらず、日本年金機構の職員はなぜ不正メールを開封してしまったのでしょうか?そこで抑えておくべきキーワードが「標的型攻撃」です。

「標的」という言葉を聴くと、「ウチの会社はそれほど有名じゃないから、狙われることはないよ」とお考えの方も多いかもしれません。ですが、「標的型攻撃」の被害は中堅・中小企業にも拡大しています。警察庁が2015年2月に発表した資料によると、オンラインバンキングの不正送金による法人被害額は2013年の9,800万円から2014年には10億8,800万円へと急速に拡大しています。その中には中堅・中小企業も数多く含まれているのです。

知り合いの名前が書かれているメールでも安心はできない

オンラインバンキングの不正送金まで引き起こす恐れのある「標的型攻撃」とは一体何でしょうか?昨今では大半の企業がホームページを開設しており、そこには問い合わせ先となるメールアドレスも記載されています。その宛先に不正なメールが届いても、多くの方は外部からの攻撃だと気づくでしょう。ですが、個人の宛先に顔馴染みの社員からメールが来た場合はどうでしょうか?「○○さん。お疲れさまです、××です。○○さんの好きなスイーツのお店(URL:****)を見つけました。今度一緒に行きましょう!」という内容だったとしたら、「****」のURLを思わずクリックしてしまうのではないでしょうか?もしこのURLが攻撃者による罠であった場合は、不正なツールをPCに仕込まれてオンラインバンキングの不正送金をされてしまう恐れがあるわけです。

このように個人レベルで相手を特定する手法が「標的型攻撃」の大きな特徴です。では、攻撃者はなぜ「○○さん」のメールアドレスや「○○さん」と「××さん」が同じ企業で働いていること、さらに「○○さん」の好物がスイーツであることを知ることができたのでしょうか?

昨今では多くの人々がFacebookやTwitterなどといったソーシャルネットワークサービスを通じて自ら情報を発信しています。そこを見れば、氏名(メールアドレスの@から左側を類推するヒントとなる)、交友関係(仕事の同僚も含まれる)、趣味嗜好などの個人情報を得ることができます。ですので「○○さん」を全く知らなくても、上記のようなメールを送ることは十分可能なのです。かといって、社員にソーシャルネットワークサービスの利用を一切禁止するわけにもいきません。このように「標的型攻撃」は規模に関係なく、どんな企業でもターゲットとなり得る新たな脅威なのです。

既に多くの企業が「標的型攻撃」への対処が必要と考えています。以下のグラフは年商50~500億円の企業においてIT関連の導入/選定を担う社員を対象にセキュリティ関連ツールに今後求める機能や特徴を尋ねた結果の一部です。選択肢のうち、「URLフィルタリング」「メール誤送信対策」「スマートフォンやタブレットの管理」はいずれもセキュリティ対策における重要トピックです。ですが、それらと比べても「標的型攻撃」への対処を求める声が多いことがわかります。

セキュリティ関連ツールに今後求める機能や特徴(複数回答可)(年商50~500億円)

拡大イメージ

対策ツールの導入だけでなく、社員の啓蒙が不可欠

ここで挙げた例は「標的型攻撃」のほんの一部に過ぎません。「標的型攻撃」は社員の趣味嗜好などを狙ってきますから、対策ツールを導入するだけでは防ぐことが困難です。社員一人一人が「知り合いからのメールであっても油断しない用心深さ」を身に着ける必要があります。昨今ではそうした社員の啓蒙をサポートするサービスも登場してきています。
「標的型攻撃」の手法はこれからも巧妙化し、被害も拡大していくことが予想されます。それに備えて、まずは十分な知識と備えをしておくことが大切といえるでしょう。

標的型メール攻撃の脅威を実感し、一人一人のITリテラシーとセキュリティ意識を高める!

最小限の投資で最大限の効果を上げられる標的型攻撃対策とは?

著者プロフィール

岩上 由高(いわかみ ゆたか) 氏

岩上 由高(いわかみ ゆたか) 氏

早稲田大学大学院理工学研究科数理科学専攻卒業後、ジャストシステム、ソニーグローバルソリューションズ、ベンチャー企業数社にてIT製品およびビジネスの企画 / 開発 / マネジメントに携わる。ノークリサーチではシステム構築/運用やIT活用提案の経験を活かしたリサーチ/コンサル/講演/執筆活動などに従事。

関連情報

お問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-835-554 お客様総合センター

受付時間 9時から17時30分まで
(土日、祝日及び当社指定の休業日を除く)
[注] お問い合わせ内容の正確な把握、およびお客様サービス向上のため、お客様との会話を記録・録音させて頂く場合がありますので、予めご了承ください。