ターゲットアタックへの備えは“巣籠り”対策のみ：情報漏えいや乗っ取り攻撃（3/3 ページ）

[國谷武史，ITmedia]

巣籠り対策のススメ

　西本氏によれば、攻撃者が最も狙う情報はユーザーIDやメールアドレス、パスワード、アカウントなどユーザー権限の周囲に関するものだという。

　「攻撃者は費用対効果の最も高い部分を狙う。大企業や金融機関は金銭につながる情報の宝庫だが、対象側の対策や意識も高いので発覚や失敗のリスクも高いので敬遠する。しかし意識や対策の甘い企業なら攻撃を容易にでき、最も狙いやすい」（西本氏）

　セキュリティ対策の強化は、最終的にユーザーを含めたセキュリティ意識をどれだけ高められるかという点に集約される。西本氏は、「守れと言われても、なかなか本気にはなれないもの。セキュリティはビジネスを支えるのに不可欠なものを考え、できるところから無理なく実施していくことが大切だ」と話す。

外務省を装った偽メール。「どこかでメール情報が盗み出され、標的型攻撃に悪用したとみられる」（西本氏）

　現在の脅威の原因とされるSQLインジェクションやバッファオーバーフロー、クロスサイトスクリプティングといった脆弱性は、いずれも最近発見された手法ではなく、以前から多方面で指摘されてきた。USBメモリによる脅威の背景には、「便利だ」「簡単だ」といったメリットばかりに注目が集まり、ユーザーはそれらが原因で起きるリスクを十分に認識していないことがある。

　「解消せずに引きずったままの脆弱性や習慣、ブームが一番の原因になる。過去を見直して弱い部分を知り、それを直す。外部に対策を頼るのではなく、ユーザーを含めて組織全体でセキュリティの意識を高めていく取り組みを進めていいただきたい」（西本氏）

過去のセキュリティニュース一覧はこちら