「御社のサイトから個人情報が漏れています」という連絡。

『御社のサイトから個人情報が漏れています』

そんなメールがウェブマスターのあたなたのところに来たら、どうしますか？ 「元の場所へのアクセス方法と漏洩していた個人情報の一部を添付ファイルにしました」とあれば、その添付ファイルを開いてしまいませんか？

ところが、実はそのメールは御社のサイトを狙ったセキュリティ攻撃で、添付ファイルを開いたウェブマスターのパソコンから情報が盗まれるようになってしまうとしたらどうでしょうか？

「標的型攻撃」という言葉を聞いたことがあるでしょうか。セキュリティの話題ですが、前述のようなものがそうです。

無差別・無作為にメールを大量に送信して「だれかがひっかかるだろう」いうのが一般的なセキュリティ攻撃だとすると、どこかの組織を狙ってピンポイントで「ひっかけてやろう」というのが標的型攻撃です。

一般的にはセキュリティの問題というと「怪しい添付ファイルは開かない」といったことが原則になっているかと思います。「会ってくれれば謝礼を50万円支払います」「競馬で必ず勝つ方法を教えます」なんて怪しいメールならば誰でも身構えるでしょう。しかし、標的型攻撃ではあなたの業務に関係のありそうな内容で攻撃を仕掛けてくるので、うっかりとひっかかってしまいがちです。

nProtect対応チーム公式ブログで、国土地理院を対象に実際に行われた標的型攻撃の例を解説しています。

・「注意」国土地理院を標的型攻撃した不正なファイル

上記ブログで紹介されている例では、国土地理院という組織を攻撃するのに、「地域デザイン学会名簿について」というひっかけ方をしています。

たとえばWeb担なら「読者プレゼントに応募した人のメールアドレスが全部表示されていますよ」「Web担に対するソーシャルメディア上での反応をテーマごとに整理しました」なんてメールが来れば、うっかりとひっかかってしまいそうです。

御社の業務や御社サイトのトピックに合わせて「○○業界が得意なWebサイト制作会社とその連絡先一覧を作りました」なんてメールが来たらどうでしょうか。また、「ソーシャルメディア最適化ツールのご案内」とか「御社サイトの改善案を作りました」「御社サイトのSEO改善案を添付しました」なんてメールだったら……。

では、こうした標的型攻撃にやられないようにするにはどうすればいいのでしょうか？ 残念ながら、これといって有効な防御方法があるわけではありません。これまでどおりの対策をするしかありません。