皆さん、こんにちは。ついこの前2016年がスタートしたと思ったら、あっという間

に1/12ヶ月が過ぎようとしています。早いですね。。。

さて2016年からはマイナンバー制度が始まります。皆様におかれましてはマイナン

バー対策として色々と準備をしてきたり、これから急いで準備をしたりと様々だと思

いますが、大事な特定個人情報を漏えいさせないように、今回のニュースはサイバー

攻撃による情報漏えいについて、どのような手口、経路で漏えいするのかを今一度確

認し、セキュリティ対策をどう考えていくかをご紹介したいと思います。

┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥

┃１┃サイバー攻撃の対象は？

┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥

サイバー攻撃は主としてネットワーク経由で行われる、パソコンやサーバー、通信

機器やネットワークシステムに対して行われる攻撃です。攻撃により相手機器に負荷

をかけてサービスを停止させたり、ホームページを改ざんしたりなど、当初は愉快犯

的な性格のものでしたが、昨今のサイバー攻撃は「標的型サイバー攻撃」と呼ばれ、

重要情報を盗み出すことを目的とし、特定の組織を標的として様々な手段、手法で継

続的に行われます。

少し前までは一般的な企業や規模の小さい企業は攻撃の対象とならないという考え

方でしたが、最近の傾向としては個人情報の窃取を目的として、企業規模や業種を問

わない標的型サイバー攻撃というのが横行しています。今後、どの企業もマイナンバ

ーを保管、管理しますので、「標的型サイバー攻撃」の対象となりえます。

┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥

┃２┃どのような攻撃なのか？

┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥

「標的型サイバー攻撃」はまず標的となる企業のパソコンやサーバーに以下のよう

な方法で不正プログラムを侵入させます。

●不正サイト

不正サイトと聞くと「変なサイトは見ないよ」と思われるかもしれませんが、

最近では企業の方が頻繁に業務でアクセスするサイトを攻撃者が改ざんし、ア

クセスした人が気付かないうちに、パソコン等のアクセス端末に不正プログラ

ムを感染させます。普段業務で利用しているサイトですから担当者の方は何の

疑いもなく利用しますので、利用先のサイトから何の連絡もなくサイトの内容

が変わっていたりしたら注意が必要です。

●メール

複数ある攻撃手法の中でも「偽装メール＋不正プログラム」という組み合わせ

で行う手法が最も普及（？）しています。「英語のメールや知らない人からの

メールや添付ファイルは開かないよ」と思われるかもしれませんが、最近の手

口はメールに添付されてくる不正プログラムが、普段業務で利用する文書ファ

イルに偽装されていたり、ファイル名やメール本文に「請求書の件」や「複合

機のカウンタ料金について」など、受信者が疑いを持たずに開いてしまいそう

な形で送られてきますので本当に信頼できる人からのメール以外は開かないと

いうことが必要です。

また、ひどい場合には実際に担当者と複数回メールのやり取りをして、担当者

を信用させたうえで不正プログラムを送信してくるという事例もありますので

注意が必要です。

●公開システムからの不正侵入

公開システムからの不正侵入は、企業が外部の取引先やユーザーに公開してい

るサイトなどから内部に侵入するという手口です。OSやアプリケーションの脆

弱性が攻撃されますので、OSやアプリケーションを常に最新の状態にメンテナ

ンスすることが重要になってきます。

また、管理者アカウントを侵害して侵入を試みる場合もあります。現在の高性

能なパソコンを利用すると8文字程度のパスワードであれば総当たり攻撃で数

時間から数日でパスワード解析が可能と言われていますので、管理者アカウン

トのパスワードは簡単なものにしないようにしてください。安全性を追求し14

文字以上で、わかりやすい英単語や推測しやすい数字などを避け、記号なども

入れるようにして設定するようにしてください。

●USBメモリなどのリムーバブルメディアからの感染

業務でデータのやり取りをするのにUSBメモリ等のリムーバブルメディアを利

用している場合などは、他人に貸してウィルスに感染して戻って来て自分が感

染してしまったという事例もありますので、パソコンにはしっかりとしたセキ

ュリティ対策を行う必要があります。

上記のような方法で1台が不正プログラムに感染すると、そこから社内のパソコン

やサーバーに不正プログラムの感染が広がります。不正プログラムに感染したパソコ

ンやサーバーは、攻撃者が準備したC&C（コマンド＆コントロール）サーバーと呼ば

れる、感染した機器に対して命令や制御を行うサーバーからの命令で動作し、最終的

に攻撃者が目的としている重要情報が外部に持ち出されます。

その後、攻撃者はアクセスログの消去や不正通信のログの痕跡を消し去ることで被害

の発見を遅らせます。

┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥

┃３┃今でも対策はしているけど

┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥

「標的型サイバー攻撃」の不正プログラムの侵入方法としては前項でご紹介したよ

うに、文字だけで見るとけっして目新しいものではないかもしれません。ですのでそ

の対策というのも文字にしてしまうと「今さら？」という感じになりますが以下のよ

うなことがあげられます。

●普段業務で利用しているサイトでも何か不自然な点があったらそのまま利用

せずに確認する

●メールタイトルや添付ファイルが業務に関わるようなことでも知らない人か

らのメールの場合は不用意に開いたりしないようにする

●外部公開しているサーバーやサイトのOS、アプリケーションに脆弱性が見つ

かった場合は直ちにアップデートを行う

●各パソコンやサーバーに総合的なセキュリティ対策ソフトを導入して、全社

のパソコンやサーバーがどのようなセキュリティ状態になっているのかを把

握し、常に最新の状態に保つようにする

今までも行ってきた対策内容だとは思いまが、今後、重要なのは「標的型サイバー

攻撃」は継続的にそして手の込んだ攻撃が行われるため、各ユーザー一人一人がセキ

ュリティ意識を高く持つ必要があるということです。上記であげたようなハードウェ

アやソフトウェアに対しての対策のほか

●標的型サイバー攻撃の攻撃手法を理解しトラップにひっかからないようにする

●会社の業務や取引先に関する情報をSNSに投稿したりしないようにする

●会社のセキュリティーポリシーを策定する

●従業員に対するセキュリティ教育と注意喚起を定期的に実施する

というような利用者の意識向上や教育に関する対策も重要になってきます。理解して

いる人からすると「そんなこと」という内容ですが、今まで携わっていなかった人に

とっては何がよくて何がだめなのかわからない内容です。

また、攻撃者は事前に標的の弱点を調べたうえで攻撃を仕掛けてくるので、パソコン

やサーバーだけではなく、ネットワークなども含めて総合的な対策を検討・導入し、

侵入された場合はどうするのかということも対策しておくことが望ましいです。

ご承知の通り、マイナンバー制度ではサイバー攻撃の標的となりマイナンバーが流

出した場合、総合的な対策をしっかりと行っていない企業は「うちは被害者です」と

は言えず罰則対象となります。今一度、セキュリティ対策の総合的な見直しをしてみ

ましょう。些細な事でも結構ですので、ぜひお気軽にご相談ください。