メールもWebも安全に開ける世界とは？ 日本屈指のホワイトハッカー辻伸弘氏が語る

サイバー攻撃被害の責任は社員個人が負うべきなのか？

―サイバー攻撃の脅威が指摘されて久しくなりますが、被害が後を絶ちません。昨年末には日本企業がビジネスメール詐欺に遭い、数億円をだまし取られた事件も起こりました。こうした場合に「怪しいメールは開くべきではない」と言われますが、最近のビジネスメール詐欺や標的型攻撃はかなり巧妙になっているそうですね。

辻 そのとおりです。私はあまり巧妙という言葉を使いたくありません。なんだか褒めているようで。ただし、これらを避けようとしても難しいほど手の込んだものになっているのは確かです。

たとえば、過去であれば標的型攻撃のメールの文面も英文であったり、日本語がたどたどしかったりと、わかりやすかったのですが、近ごろは日本の企業がやりとりしているメールをそのままコピーして日付や固有名詞だけ差し替えているものがあります。「詳しくは別添の資料をご覧ください」と言われて添付されている資料も、日本の企業の文書をコピーしたもので、文面は当たり障りのないものですが、ファイルを開くとウイルスに感染してしまいます。

また、ビジネスメール詐欺では、メールを盗み見たりアカウントを乗っ取ることによって、支払先企業が請求書を送付したタイミングで、取引先になりすまし、「振込先口座を変更した」といったメールを担当者に送り信じさせるという手口がよくあります。

―架空請求や、IDやパスワードを入力させるようなばらまき型のメールと異なり、かなり高度ですね。そこまでされると気をつけろと言われてもなかなか容易ではありません。誰もが信じてしまいそうです。その場合の責任は、メールを受け取って反応してしまった社員個人が負うことになるのでしょうか。

辻 対応は企業によってまちまちです。被害の内容によっても異なります。個人の責任を問わないという企業もあれば、何らかの処罰を行うというところもあります。ここで気をつけなければならないのは、個人に責任を負わせる場合、処罰を恐れて報告しないケースが出てくることです。そうなると、被害に遭った事実が隠されるだけでなく、その対策のための情報共有も進みません。

社員を守りながら、堅牢性と利便性を両立させるには

―お話しを伺っていると、多様化するリスクに対して、人ができることには限界があるし、多層防御でも防ぎきれないように思います。

辻 どこかに不具合があるのでパッチを当てるということでは、まさに継ぎ当てになります。基本ソフト（OS）に脆弱性があるといった場合の修正プログラムなら、対処すればその方法では侵入できなくなりますが、人間に当てるパッチはありませんからね。