半径300メートルのIT：標的型攻撃への対応、正解は「ファイルを開かない」……だけではない (1/2)

「これって、昨日の訓練でやったのと同じ詐欺のパターンだ！」――。そう気付いたコンビニ店員が特殊詐欺を見破るという大手柄を挙げました。この事件が示唆するこれからのセキュリティ対策のポイントとは？

　コンビニエンスストアの店員が、電子マネーのギフトカードを使った特殊詐欺を見破る――。先日、そんな報道がありました。

　特殊詐欺とは、知人や家族を装い「大変なことが起きたので、電子マネーのギフトカードを買って番号をいますぐ送ってくれ」と、相手をだますもの。チャットツールのID／パスワードを盗んで行うパターンや、架空請求をかたって行うパターンなど、さまざまな手法があります。

　比較的高額のギフトカードを要求されることから、このコンビニエンスストアでは、「高額のギフトカードを購入するお客さまには、その用途を聞く」という訓練を行っていたようです。報道では、訓練の翌日に“訓練と全く同じパターンの購入客が現れた”ことから、店員が「ドッキリかと思った」と発言したことも話題になりました。

「人が狙われる時代だからこそ」の対策とは

　私はこの報道を見たとき、職場や家庭のセキュリティ対策においても示唆に富んだ事例だと思いました。訓練がきっちりと対策につながっており、多くの人を脅威から守ったのはとても有意義なことだからです。

　ITの世界においては、コンピュータを欺く“ハッキング”をするよりも、「人」を欺く方がよっぽど簡単です。そのため攻撃者は、他人を装って送信する「標的型攻撃メール」や、万人の恐怖や不安、興味をあおる内容のメールを大量に送り、そのうち数人でもだませたらもうかる「ばらまき型メール」などの、“人を欺く手法”をよく使います。

　最近ではこうしたメールにだまされないようにするために、企業が従業員には告知せずに、迷惑メールの訓練を行うことが増えているようです。

　ただし、標的型攻撃メールの対策は一筋縄ではいきません。その内容は巧妙化する一方で、今や訓練を本気で行おうとすると、ほぼ「本物」の文面を作ることになります。

　最近では情報処理推進機構が「標的型攻撃のメール訓練で、実在の団体名を使わないようにすべし」と注意を促すほど。昨今の攻撃事例が巧妙になったことから、「訓練」もリアルさを追求するようになった結果、外部の組織に迷惑を掛けてしまう事例が増えているのでしょう。

安心相談窓口だより（出典：IPA 独立行政法人 情報処理推進機構）