FinTech、IoT、セキュリティ――ハギー流の2016年占い：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

ますます巧妙化する標的型メール攻撃

　筆者は何年も前から、世間でよく言われる「怪しいメールは開くな」という言葉の中の「怪しい」という接頭語は外すべきだと警告してきた。このコンピュータの時代に、「怪しい」という人間系の判断を含ませた防御方法に意味が無いわけではないが、そこを声高に叫ぶのは企業として無責任ではないか。

標的型メールの例（IPA資料より）

　技術的な方法によって、脅威を最大限かつ自動的に検査、分析、排除し、最後の砦としてペナルティを一切設けることなく人間が判断する。システムが「OK」と判断しても人間が「NG」と判断することがあり得る対策を考えなければいけないのだ。

　標的型メール攻撃は、年を追うごとにというより、月を追うごとに巧妙になっている。以前にもお伝えしたが、もはや筆者にも怪しいメールと怪しくないメールの判断は無理な状況だ。これがもっと進んでいる。2016年はこのキーワードも世の中で大きく騒がれるだろう。

ネット被害が大きな闇に拡大

　2015年末にランサムウェアの一種と思われる「vvvウイルス」が騒動になったが、2016年はランサムウェアが猛威をふるう可能性が高い。これまでの被害は大部分が海外だったので国内ではあまり注意されてこなかったが、国内でも個人のPCがある日突然に大きな被害に遭うかもしれません。その兆候が「vvvウイルス」と思われる。

　またネットバンキングの不正送金を狙う攻撃も、加害者にとって比較的“旨み”の大きい中小金融機関の法人口座における被害がますます拡大する予兆をみせている。今後の対応方法についても順次記載していきたい。

---

　FinTechとIoTは、ひょっとするとバラ色の未来が描ける可能性を秘めたキーワードだ。マイナンバーはいい意味でも悪い意味でも注意すべきキーワードである。そして、標的型メール攻撃やネットバンキング被害は憂鬱（ゆううつ）になるキーワードとして紹介した。2016年もタイムリーな事件からセキュリティの基本に戻る解説まで、読者の方々に少しでもお役に立つものをお届けしたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。