連載
» 2020年07月21日 07時00分 公開

「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方半径300メートルのIT(2/2 ページ)

[宮田健,ITmedia]
前のページへ 1|2       

新しい脅威も、古い脅威も「怖さ」は同じ

 システム管理者は、全方位からやってくるさまざまな脅威からシステムを守らなければなりません。今回の「SIGRed」のように新しくセンセーショナルなものは報道で大きく盛り上がりますが、最初の攻撃からしばらく時間がたつと報道も静かになってしまい、その後の状況がなかなか見えづらいものです。

 今回は、それら「そういえば聞かなくなった」中で、2つほどピックアップしておきたいと思います。まずは「迷惑メール」。IIJの技術ブログに、気になる情報が掲載されていました。

迷惑メールの量が急増中! 2020/1Q 緊急レポート | IIJ Engineers Blog

 読者の皆さんの元にも必ず届いているであろう迷惑メールの総量が、2020年4〜6月に急増していたというニュースです。フィルタリングによって自動的に破棄していると、迷惑メールの存在に気付かないかもしれません。しかし「総量が増えている」という事実を認識しておくことは重要でしょう。この件で難しいのは、迷惑メールが増えた理由までは分からないでしょう。引き続き情報を追う必要があるかもしれません。

 そしてもう一つ、忘れてはならない脅威は「Emotet」です。非常に悪賢いやつで、「そういえば、あったなあ」と感じてしまう方にこそ、この一連の行動に脅威を感じてほしいと思います。

 Emotetは決して下火になってはいません。思いだしていただきたいのは、この攻撃が「メール」をきっかけに組織内に入り込み、横展開で不正アクセスの範囲を広げていくものであること。Emotetは、興味をひくタイトルのメールを送り、ターゲットにメールを開かせて感染を狙います。例えば「テレワーク徹底のお知らせ」もしくは「テレワーク廃止のお知らせ」というタイトルのメールが来たら、思わず開いてしまうのではないでしょうか。Emotetは過去にも「賞与支払い」といったタイトルを使ったことがあります。いずれも日本人の心をよく分かっている者の犯行といえるでしょう。日本人の心の隙間が、今も狙われているのです。

マルウエア Emotet の感染に繋がるメールの配布活動の再開について

あわてず騒がず淡々と、「ひとごと」にせず対応を

 テレワークが当たり前となった時代では、システムの管理が取るべき対処も変わっているかもしれません。例えばマシンルームで作業できない場合、対応の手順の見直しから検討する必要もあるでしょう。全ての脆弱性が緊急で対応するべきものとも限りません。淡々と内容を確認し、優先順位をつけて対応していきたいですね。攻撃の中にはずっとつきまとってくる「昔なじみ」のようなものもあり、日々変化する攻撃に付き合う必要もあるでしょう。

 そして重要なのは、これがシステム管理者だけの問題ではないという点です。PCを利用するユーザーは、どこかで必ず脆弱性と付き合う必要があります。自宅のネットワークを使ってテレワークで仕事をしているなら、あなたは自宅のシステム管理者です。「よく分からない」は通用しません。

 例えば勉強のために自宅にサーバーを立てたり、個人でCMSを運用していたりするならば、これらのことを自分のできごととして認識しなければなりません。身近な例でいえば、多くのWordPressブログで利用されているプラグイン「All in One SEO」に新しい脆弱性が発見されたばかりです。こういったものにも気をつかわねばなりません。

 これからのセキュリティ対策は「全員でするもの」になるでしょう。現在世界中を苦しめるCOVID-19対応と同じです。誰かに任せきりにせず、一人一人が目を光らせてください。そして脆弱性のニュースを見つけたら、Web会議や軽いおしゃべりの場でも「あの話、聞いた?」「あれってどうなったっけ?」と、ちょっとだけ話題に出してみてはいかがでしょうか。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ