信用金庫に届いたマルウェア入りCD、騒ぎの真相は……
信用金庫は規模が小さくセキュリティ専門の担当者を置いていないことも多いため、付け狙われる傾向があるのは事実だという。
米国の信用金庫にマルウェア入りのCDが郵送されて来たとして、信用金庫の業界団体が警戒を呼び掛ける騒ぎがあった。SANS Internet Storm Centerによれば、後にこれは組織公認の侵入テストだったことが判明。それでもここ数年で、銀行よりも規模が小さい信用金庫が狙われるようになったのは事実だとして、専門家は警鐘を鳴らしている。
SANSなどによると、問題のCDは業界団体「National Credit Union Administration(NCUA)」の名をかたった手紙を添えて、2枚セットで信用金庫に郵送された。手紙には、CDに入っている研修用の資料を参照するようにとの指示が書かれていたが、文面は誤字脱字や文法の誤りだらけで、CDにはマルウェアが仕込まれていた。
SANSがこの情報をサイトに掲載したところ、Microsolvedという企業から連絡があり、CDを郵送したのは組織公認の侵入テストの一環で、職員がだまされてCDを実行してしまうかどうか試すのが目的だったと説明されたという。
ロシアのセキュリティ企業Kaspersky Labの専門家が運営するブログ「Threatpost」でもこの問題を取り上げ、この手の攻撃手法はネット経由のフィッシング詐欺の延長として、セキュリティ業界では何年も前から取りざたされていたが、実際に浮上したのは初めてではないかと解説。信用金庫は一般に規模が小さく、銀行のようなセキュリティ専門の担当者を置いていないことも多いため、だましやすいと見られて付け狙われる傾向があると指摘している。
関連記事
- 企業で起こる2つのセキュリティ脅威を知る――JPCERT/CCの報告書から
JPCERT/CCは、企業を中心に被害が起きている「標的型攻撃」とリムーバブルメディアで感染するマルウェアの2つの脅威について詳細分析を行った報告書を公開している。 - 「攻撃を検出!」そのとき通信事業者は――国内初の想定演習
2月14日の重要インフラセキュリティセミナーでは、国内ではおそらく初の実施となった、通信インフラを狙ったサイバー攻撃に対する対応演習のあらましが披露された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.