日本企業のセキュリティ対応は問題だらけだ インシデント(致命傷)はどうすれば防げるか

たとえば、前出の竹田くんが攻撃メールを受信したとしよう。このメールは誰が何のために送信したのだろうか。おそらく、ほとんどは金銭搾取を目的としたバンキングマルウエアやランサムウエアに関するものばかりだろう。

いわゆる、バラマキ型と呼ばれるたぐいのもので、攻撃者からすれば標的は誰でもいい。このようなタイプの攻撃は、世間一般に多く行われているのでウイルス対策ソフトウエアの対応も早い。したがって、特別な対策を行う必要も少なく、一般的な対策で十分であることが多い。

未然防止が難しい攻撃を受ける可能性があるならば

しかし、もし竹田くんがプライベートで、新興国を支援する事業にかかわっているとしよう（この種の情報は事前に知っておく必要がある）。

こうなると、事情が変わってくる。彼は新興国と政治的に関係のある特定国から、事業で得た情報や交友関係などが狙われる可能性が出てくるのだ。まるでテレビドラマのような話であるが、この手の話は珍しくない。実は、新聞報道でも触れられていたりすることがある（記事の内容は、まったく関係がないように読めてしまうことが多いのだが……）。

このようなケースでは、かなり手の込んだ攻撃が行われることもあるうえ、脅威情報も広く知られているものではない。仮に脅威情報を見つけることができたとしても、その情報源は「専門家による専門家のためのリポート」が多く、サイバーセキュリティを生業にしているプロ、もしくはセキュリティマニア以外はほぼ理解不能だ。

だが、通常の初動対応を目的とした場合は、攻撃者タイプを推察するだけでもいい。もっと言えば「竹田くんは未然防止が難しい攻撃を受ける可能性がある」という事実がわかればいい。このことにより、その後の対処方法の方向性を決められるので、スピーディでブレない対応が期待できる。

では、どうやって攻撃者のタイプを判断したらいいだろうか。大ざっぱに判定するのであれば、検索エンジンで探すのが手っ取り早い。攻撃メールの表題や送信元、テーマを検索して同種のものがあれば、ほぼバラマキ型と判断していい。もし同種の攻撃メールが見つからない場合は、「ワタシ狙われちゃってるのかな？」と考えてはいかがだろうか。

（2）被害の最悪シナリオを想像

これだけ日常的にマルウエア付きの攻撃メールが頻繁に届くようになると、ほとんどのユーザーはマルウエア感染くらいではもはや驚かない。強者ユーザーは不正なプログラムの挙動を観察までしてしまう始末だ。現在、課題となっているのは、その後のサイバー攻撃者が遠隔からマルウェアに感染したパソコンを不正操作して何をしたか、である。

そんなとき、自組織において何をされたらビジネス的に最悪な事態を招くかを考えておくべきである。大抵の企業では“情報漏洩”と呼ぶのだが、その被害額を想定すると大した額にならないケースも少なくない。

むしろ、システムの停止や破壊のほうがビジネスインパクトとして大きい場合がある。以前、小売業のクライアントから相談を受けて訪問してみると、サイバー攻撃により顧客情報が漏洩してしまったという。内容的には氏名、住所、連絡先といった一般的なものだ。このとき、漏洩した情報は数千件といったレベルだ。このインシデントの対応は、いわゆる商品券的なもので収め、想定以上のビジネスインパクトは発生しなかった。