1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第4回 「人の脆弱性」が悪用される! メール等の安全な取扱いのポイントについて聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第4回 「人の脆弱性」が悪用される! メール等の安全な取扱いのポイントについて聞いてみた(1/3)

フィッシングから企業等の機密情報の窃取、マルウェア感染などの攻撃まで、人と人との意思疎通に用いられる「メール」をはじめとするコミュニケーションツールが様々な攻撃に悪用されています。メール等のコミュニケーションツールを利用した攻撃は、いわば「人の脆弱性」を悪用しているため、攻撃であることを事前に見抜くことが困難になってきています。攻撃手法を知り、私たちのできる基本的な対策から行っていくことが大事です。

今回は、攻撃の最新事情から対策のポイント、メール等を安全に利用するための運用のポイントなどについて、「セキュリティ防衛隊」の辻さんに解説していただきます。

メール等を悪用した攻撃の最新事情とは

★ 辻さん今回もよろしくお願いします。今回はメール等を用いた攻撃について教えてください。
辻 伸弘隊長

こんにちは。まずは、メール等を用いた攻撃にはどういうポイントがあるか、考えてみましょう。

一点目は、フィッシングから情報の窃取、マルウェア感染などの攻撃まで、メール等のコミュニケーションツールを通じて「人の脆弱性」を悪用しているというポイントです。

例えば、企業等の組織の機密情報の窃取やマルウェア感染などを目的にした「標的型攻撃」では、本当に攻撃したい組織の前に、周囲の「セキュリティの比較的弱い組織」が狙われることもあります。

★ 最終的な攻撃対象の前に、別の組織を狙うということですか。
辻 伸弘隊長

はい。企業や組織は、関連する組織や団体、取引先など、サプライチェーン的に様々な組織が繋がり合っています。特定の企業に標的型攻撃を仕掛ける際に、まずは、一見すると攻撃者にとって何の価値もなさそうな別の組織が狙われる場合もあるのです。

例えば、別の組織のパソコンに侵入し、そこを踏み台にして、担当者間で流れているメール(PDFが添付されたメールなど)を盗んで、その内容をコピーしてしまいます。

★ メールの文面も完全に担当者同士のやり取りがコピーされるのですね。
辻 伸弘隊長

そこがポイントです。そして、PDFファイルには、見た目は同じですが、ファイル内に攻撃コードを埋め込んで再びメールに添付し、件名を「再送」などに変更し、標的となる組織の担当者に送ってしまう、という感じです。

★ 「怪しいメールは開かない」といわれても、見た目が怪しくないですね。
辻 伸弘隊長

はい。最初に狙われた組織のオフィスのPCは乗っ取られた(踏み台にされた)状態なので、その組織の許可されたメールサーバーを経由して標的型攻撃メールが送られることになります。自分の関係先の組織が乗っ取られて、メールがコピペされて攻撃メールが送られてくるとなると......。

★ それを開封前に見抜くことはほぼ不可能ですね。
辻 伸弘隊長

一方で、フィッシングやオンライン詐欺などは、依然として「引っかかる人が引っかかればいい」という"数打てば当たる"論理で仕掛けられている側面があります。今年流行した、LINEアカウントが乗っ取られて詐欺が仕掛けられる事案がありますね。

★ iTunesのギフトカード番号がだまし取られた事案ですね。
辻 伸弘隊長

この詐欺事件では、「(乗っ取られた)友だちが困っている」というシンプルな手口ながら、警視庁が発表した被害額(2014年7月発表)は約650万円にものぼります。これを見ると、特定のアカウントを乗っ取って、その友だちに1件1件詐欺メッセージを送る手口というのは、地味ですが効果が大きいことがわかります。

★ まさに人の脆弱性ですね。
辻 伸弘隊長

おっしゃる通りです。そして、フィッシングでは、ID、パスワード以外にログインに必要な「別の要素」の情報を盗みはじめてきたと考えられます。これは、二つ目のポイントです。

★ もう少し詳しく教えてください。
辻 伸弘隊長

はい。事業者の中には、2要素認証を導入するにはコストもかかりユーザーにも負担がかかることを懸念し、ID、パスワードによる認証に加え、お客様が所持している固有の情報で本人確認できる要素を一つ加えるところが出てきました。例えば、「契約者番号」のような類の情報ですね。こうした、今まであまり流出してこなかった情報が、今後狙われることが考えられます。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji