「御社のサイトから個人情報が漏れています」という連絡。

2012.04.02

経営・マネジメント

「御社のサイトから個人情報が漏れています」という連絡。

安田 英久
株式会社インプレスビジネスメディア Web担当者Forum編集長

今日は、最近のセキュリティの話題を。古くから言われている「信頼できない添付ファイルは開かない」「怪しいサイトは閲覧しない」では防げない、困った攻撃があるのです。

『御社のサイトから個人情報が漏れています』

そんなメールがウェブマスターのあたなたのところに来たら、どうしますか? 「元の場所へのアクセス方法と漏洩していた個人情報の一部を添付ファイルにしました」とあれば、その添付ファイルを開いてしまいませんか?

ところが、実はそのメールは御社のサイトを狙ったセキュリティ攻撃で、添付ファイルを開いたウェブマスターのパソコンから情報が盗まれるようになってしまうとしたらどうでしょうか?

標的型攻撃」という言葉を聞いたことがあるでしょうか。セキュリティの話題ですが、前述のようなものがそうです。

無差別・無作為にメールを大量に送信して「だれかがひっかかるだろう」いうのが一般的なセキュリティ攻撃だとすると、どこかの組織を狙ってピンポイントで「ひっかけてやろう」というのが標的型攻撃です。

一般的にはセキュリティの問題というと「怪しい添付ファイルは開かない」といったことが原則になっているかと思います。「会ってくれれば謝礼を50万円支払います」「競馬で必ず勝つ方法を教えます」なんて怪しいメールならば誰でも身構えるでしょう。しかし、標的型攻撃ではあなたの業務に関係のありそうな内容で攻撃を仕掛けてくるので、うっかりとひっかかってしまいがちです。

nProtect対応チーム公式ブログで、国土地理院を対象に実際に行われた標的型攻撃の例を解説しています。

「注意」国土地理院を標的型攻撃した不正なファイル

上記ブログで紹介されている例では、国土地理院という組織を攻撃するのに、「地域デザイン学会名簿について」というひっかけ方をしています。

たとえばWeb担なら「読者プレゼントに応募した人のメールアドレスが全部表示されていますよ」「Web担に対するソーシャルメディア上での反応をテーマごとに整理しました」なんてメールが来れば、うっかりとひっかかってしまいそうです。

御社の業務や御社サイトのトピックに合わせて「○○業界が得意なWebサイト制作会社とその連絡先一覧を作りました」なんてメールが来たらどうでしょうか。また、「ソーシャルメディア最適化ツールのご案内」とか「御社サイトの改善案を作りました」「御社サイトのSEO改善案を添付しました」なんてメールだったら……。

では、こうした標的型攻撃にやられないようにするにはどうすればいいのでしょうか? 残念ながら、これといって有効な防御方法があるわけではありません。これまでどおりの対策をするしかありません。

次のページ広告代理店や制作会社にも徹底させる

続きは会員限定です。無料の読者会員に登録すると続きをお読みいただけます。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

安田 英久

株式会社インプレスビジネスメディア Web担当者Forum編集長

企業のウェブサイト活用やウェブマーケティングに関するメディア「Web担当者Forum」(http://web-tan.forum.impressrd.jp/)を運営しています。

フォロー フォローして安田 英久の新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。