情報セキュリティの専門家、そして生粋の“テクノロジーマニア”でもある萩原栄幸氏が、技術に裏側に潜むちょっとコワイ、知るとちょっとオトクな話題を紹介する新連載。第一回はサイバー攻撃に使われる「不審なメール」です。
ITmediaで連載を手掛けるようになって早5年が経過した。これまで企業経営者からビジネス、一般の方までさまざまなテーマのシリーズを展開してきたが、今回のシリーズではITの初心者からベテランの方まで、筆者なりに知っていただきたい技術の裏側の面をお伝えしたい。
PCなどのIT機器を初めて触る方は日本だけで軽く100万人を超えると思われる。70代で初めてスマートフォンを触った限界集落のご老人、入学祝いに初めてノートPCを手にする若者、避けてきたがもうどうにもならなくて初めてエクセルを触る中高年――こうした方が実にさまざまな年代に広がっている。特に今の若い世代はPCのスキルが明らかに低下していると感じる。物心がついた時には携帯電話の方に慣れており、PC自体に興味を持たないのかもしれない。
本シリーズでは初心者にぜひ知っていただきたい点も取り上げるので、以前の記事で紹介した話題を再び触れていく。ベテランの方や読者の中には「前にも読んだ」「今さらの話ですか」と思われるかもしれないが、その点はご容赦願いたい。もちろん、こうした方々にとっても新鮮な話題もお届けしていく。第一回は昨今のサイバー攻撃の増加で身近になった「不審なメール」について解説したい。
筆者の場合もそうだが、交際範囲が広がると否応なくメールアドレスを知らせる先も広がる。広がれば広がるほど「ジャンクメール」も増加していく。筆者の公開用アドレスには一日に500通くらいのジャンクメールが届くありさまだ。そうしたメールのセキュリティ対策とよく聞くのが以下のようなものだ。
情報処理推進機構(IPA)や内閣官房情報セキュリティセンターが紹介する対策にも同じような記載がある。別にこのこと自体は非難するつもりはないし、その通りなのである。先日も某上場会社の新人教育の場で、「フィルタリング対策が効果を挙げているが、不審なメールを100%取り除くことは不可能。不審なメールは削除すること。特に添付ファイルを開く行為は厳禁であり、絶対にしないこと」とあった。しかし、こうやって教育が浸透されるほど、逆に心配になってくる。
不審なメールの99%は単なるジャンクメールか、スパムメールであり、実際にはこういうメールにひっかかる人はほとんどいない。個人が変なスケベ心で開いてしまって多少の被害に遭う程度か、あまりに人がいい、もしくはうっかり者でついつい本文を信じてリンク先のフィッシングサイトに誘導されてしまうという状況である。不審なメールの多くは一見すると日本語だが、日本語らしくない表現が多々ある。いかにも外国人がにわか程度の知識で日本語の文章を書いたとしか思えないものばかりで、部分的に文字化けもしているなど、どうみても「不審なメール」だ。
だが現状はそんな甘いものでない。「不審なメールの内容を信じるな」ということは誰もが直感するが、そこで終わってしまいがちであり、それではいけない。必ずその後にこういう文言を付け加えるべきである。
実際に筆者が某企業でメールの対応をテストしたことがあったが、うまく対応できたのは3割だけで、7割は添付ファイルを開いてしまった。テストに使ったメールの内容は次のようなものである。
某コールセンターのケース。
内容:4日前にそちらで注文しました山崎と申します。昨日商品が届き、これを開いたところ、なんと右側の取り付け部品が2つあり、左側の部品がありません。これでは欠陥品です。楽しみにしていたのにショックでした。早急に対応願います。
一応証拠として画像を2枚添付致しましたので、まずご覧ください。明らかに右側だけに2つあるのです! 詳しくは次の通りです……。
某地方銀行の支店の課長代理のケース。
内容:本メールはご注文における自動発行メールです。このアドレスに送信されましても、本アドレスは送信専用ですので、ご不審な場合、身に覚えがない場合、ご注文商品が異なっている場合などは全て下記のリンクをクリックされそこで必要事項をご記入の上、送信ください。原則48時間以内に弊社担当の者からご連絡させていただきます。
最近のサイバー攻撃は、攻撃者が準備段階として調査をした上で、友人からのメールを装って送信している。そして、標的の人間からパスワードを盗んだり、PCを乗っ取ったりした上で、企業の機密情報へだんだんと近づいていく。
読者ならお分かりかもしれないが、メールの送信元(FROM)は単なるテキスト情報であり、簡単に偽装できる。FROM情報を書き換えられる裏ツールが出回っていたくらいだ。また、メーラーがなくてもWindowsの標準機能の「コマンドプロンプト」からTelnetを使ってメールを送信できるが、そこでは送信元情報を手で入力することになるので、どんな送信元にでも偽装できてしまう(ただし実在していないとエラーになる。筆者は講演などでホワイトハウスのドメインを使って実験したこともある)。
当然ながら、こうしたテストは相手に知らせないとさまざまな法律に触れる恐れがあるので、相手に知らせてから、もしくは企業の場合なら担当部署やコンプライアンス関連、役員などの承認を得てから実施する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.