犯行声明だけが独り歩き ランサムウェア被害の新たなミスリードにどう対抗する？：半径300メートルのIT

「社長からの指示」「ダークWebに自社名」──その連絡、本当に信じて大丈夫でしょうか。公開情報を巧みに拾い、ビジネスチャットや“犯行声明”まで悪用する新たな詐欺が広がっています。次のステージへと進化した攻撃にどう対策すべきでしょうか。

[宮田健，ITmedia]

　先日取り上げた、「社長を名乗った人物が『LINEグループ』を作ってQRコードを送れと指示する」“詐欺”について、「LINE」から注意喚起が公開されました。筆者の近くにいるセキュリティ識者たちは個人事業主や自分の会社を持っている方も多く、立派なWebサイトを持っています。

　そこには当然代表者としての連絡先が記されており、メールアドレスも公開しています。そういう人のところにやってくる「LINEグループを作って」というメールを見ていると、公開情報にせざるを得ないものを細かに拾い上げ、丁寧に詐欺シナリオを作っているという印象があります。

ビジネスチャットがもう信頼できなくなるワケ

　以前、この一件を取り上げたときには、個人向けに提供されているツールをそもそも仕事で使うのは問題だ、ということを結論としてまとめました。しかし、もはやビジネス向けツールも狙われている模様です。

　ビジネス向けチャットサービス「Chatwork」でも、なりすましの事例が出てきているようです。注意喚起が公開されており、内容を見る限り「本詐欺行為では、実在する人物の氏名やプロフィール画像を無断で使用した悪質なアカウントが使われており、社内や取引先の人物になりすまして個人情報の悪用や情報漏えい、または金銭的な被害をもたらす恐れ」があるとのことで、攻撃の狙いはLINEと同じです。

Chatworkでのなりすまし詐欺に関する注意喚起（出典：kubellのWebサイト）

　ビジネス向けチャットすら疑う必要が出てきた今、有効な対策は「個人向けツールは使わない」に加え、「詐欺に先回りして、社長名での注意喚起」をすることでしょう。しかしその「社長名」こそが狙われているわけで、その注意喚起は電子メールやチャット以外の方法で周知することが求められています。

　そのとき社長が直接依頼するときの“プロトコル”を決めておくのもいいかもしれません。まさに「振り込め詐欺」対策の会社版が必要になってきました。恐ろしい時代ですね。

盗まれたそのデータ、本当に自社のもの？

　もう一つ、気になる動きを紹介しておきましょう。ランサムウェア被害が増えたことで、自社データが漏えいしていないかどうかを確認する「ダークWeb監視」の需要が高まっています。もしかしたら、マネージドサービスのオプションとして提供しているベンダーもあるかもしれません。

　これはリークサイトに自社情報が掲載されることへの対策となります。多くの場合、ランサムウェア被害に気が付くのはランサムノートが表示されるタイミングです。しかし暗号化ではなく漏えいデータによる脅迫が主である場合、リークサイトに企業名が掲載されます。それも企業が被害の第一報を公開する前なので、この時点での対処ができなければ、SNSなどでブランド毀損（きそん）が止まらないという事態に陥るでしょう。

　しかし、ここ最近は少々特殊な事例が増えてきています。まずは朝日新聞の事例です。朝日新聞によるデータ漏えいが公開されましたが、実はそのデータが「戦前の号外」の画像データだったというものです。もしそうであれば、ある意味一般公開しているデータで誰でもアクセスできるものと考えられます。

「弊社のデータが漏えいした」などの指摘について（出典：朝日新聞のWebサイト）

　この他、以前話題になったIIJの事例も紹介しましょう。「IIJからソースコードを盗み出した」という攻撃者の主張が話題になったのですが、実際に盗まれたのは公開FTPサーバのデータであり、こちらも誰もがアクセス可能なものでした。

　つまりこれらはそもそもデータ侵害すらなく、犯行声明だけが公開されたという内容です。こういった犯行が今後増えるかどうかは分かりませんが、万が一自社の名前がダークWebに掲載され「データを奪った」と自称していても、それが本当に自社内のデータかどうか怪しい可能性がある、ということは理解しておいた方がいいかもしれません。

　まとめると、企業は今後自社内のデータを管理し、漏えいの痕跡を短期間に確認できるよう、体制を整えておく必要があります。これも非常に困ってしまう展開だと思っています。

狙われる「一般社員」　今後の課題は「情報格差」

　これらの事件を俯瞰（ふかん）すると、これまでの常識の裏をかき、システムそのものを狙うとともに、その周辺の人を狙う、詐欺的な攻撃の効果が上がっているのではないかと推測しています。狙われるのは、システム管理者でもセキュリティ担当者でもなく一般社員です。

　一般社員がこれら詐欺の兆候に気が付けるかどうか、初動が重要なことが増えてきてしまいました。果たして、社長名でやってくる“ビジネス”メッセージや、監視を委託しているセキュリティベンダーからのダークWeb掲載報告を受けたとき、それが偽の兆候だと想像できるでしょうか。これは自分でも自信がありません。

　ある意味、これらの兆候は電子メールというこれまでのツールで対策が進んだこと、フィッシング対策の意識が進み、簡単には従業員をだませないことというプラスの効果が出ているとも言えます。しかし攻撃者は簡単には諦めず、次のステージに進んでしまいました。偽の社長どころか偽の犯行声明がある前提での対策には、やはり「知識」武装が必要です。

　できれば多くの方が「プラス・セキュリティ人材」となって欲しいというのが理想ですが、そんな余裕もないでしょう。それでも、ぜひこういったセキュリティの話題に興味を持っていただければうれしいです。もはや普通の社員も、サイバー攻撃を受ける時代。自分自身の資産を守るためにも、ちょっとだけ興味を持って、話題にするところから始めましょう。まずは、社長との合言葉を決めることから。役職がついている皆さんは、これを気に現場との距離を縮めるのもいいですね。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。