メール標的型攻撃は「PCと人」、ハニートラップは「人と人」、手法に違いはあれど古典的な進化版の共通点
情報セキュリティは「個人情報」と思われているようなケースを多く見聞きします。個人情報も情報セキュリティの対象になりますが、個人情報以外の機密情報、知財関連等のが情報セキュリティをガッチリ守る必要性を強く感じています。情報漏洩事件で個人情報関連が多いのは、報告義務があったりするからです。しかし機密系情報漏洩の場合、隠密に何もなかったように進められるもの。それは上を向いて唾を吐くようなものだからです。
狙われる中堅・中小企業――Symantecが標的型攻撃の実態調査
標的型攻撃とは、標的とする情報やシステムに不正アクセスする目的で、特定の企業の担当者などを狙ってマルウェアを含んだ電子メールを送り付ける手口のこと。Symantecは7月20日のブログで、同社のマルウェア検知システムを使って2010年初めから2011年にかけて検知した攻撃の状況を報告した。
それによると、標的型攻撃の40%は従業員500人以下のSMBが標的にされていたという。さらに、標的型攻撃を1度でも経験したことのある企業のうち半分以上をSMBが占めていた。
標的型攻撃についてのGoogle検索結果です。参考にして下さい。
簡単に言えば、不特定多数を狙ったものが「迷惑メール」の類となり、特定企業・個人を狙ったものが標的型となります。
これはメールの記事ですが、媒体としてはメール以外にもあります。
特定な組織や人を標的にしたハニートラップは、インターネット登場以前からある古典的手法でありつつ、有効技だったりしています。
これ、送り元である攻撃側の視点で考えて見れば
・いかにしてメールに疑い持たずに
・爆弾な贈り物である添付ファイルを開かせ
・罠にはまってもらえるか?
を真剣に考えています。攻撃と言われても、攻撃に見えては失敗なので「ごく普通に重要性があるように」見せかける工夫がなされています。
以前に「増え続ける「パスワード詐欺」場面の判断基準とトレードオフってなんだろう?」で書いた、銀行名を騙り「緊急セキュリティ対策CD」を送りつけ、インストールさせる事件がありました。セキュリティ・緊急・対策。。。すぐに対処しなければならない。と、何の疑う余地もなく言われたとおりにしてしまいます。これが攻撃側の「想定された」行動となります。緊急とか言われると、一分一秒でも早くしなければならない!と思うのも当然と思います。
一方、外部攻撃としてのトラップ以外にも、内部テロ、ウィキリークスのインシュアランス的な「情報を人質にする」ことは内部に居るからこそ出来ることでもあるのです。これは標的型と言うよりも「無防備ど真ん中完結型」とでも言えばいいのでしょうか。
・・・そんなことはあり得ないよ!とか、うちにはそんな情報はないよ!とか・・・実際にそうでしょうか? どの業種であっても、機密や秘密にあたる情報を持っています。誰が何処までの権限を持っているかの問題もありますが、仮に何もないのであれば、一体競合他社と比較して「なんの優位性もないのか?」としか言いようがありません。この程度な意識しか持ち合わせない管理職の居る企業の今後が危ぶまれます。
ハニートラップだけではありませんが、誰しも十分に引っかかる要素を持ち合わせているはず。自分のこころに手を当てて考えて見て下さい(笑)
媒体は変わっても、
・ごく日常にある風景なので
・疑うってことを考えることもなく
・不自然でもないorそう思いたくない(ハニートラップ)
・・・こんな形で一本釣りされていくのです。見事にはまっているにも関わらず、いつもより良い仕事をしたような、ラッキーだったと思えるような感覚にすらなってしまいます。
普段私たちは「何か比較」をするときに、自分にないものを一生懸命探し出します。他人と比べて・・・がないとか、・・・少ないとか、・・・足りないとか。。。逆にあるもので比べる場合は、自己満足的に優位になった気がするだけでしょう。そんな比較が出来るのに、いつものことにはそんなに注意を向けていません。
日常のビジネスにおいても生活でも「判断すること」はもの凄く多くあります。そんな中に潜む脅威が実際にある以上は、少なくとも「そんなこともある」と認識し、注意するしか方法はないと考えています。ビジネスマンが持ち合わせるべく、リスクマネジメントですね。
情報セキュリティ標語:そんなこと、言われなくても、わかってる?(意識行動編)