最近、サイバー産業スパイも話題になっているようだ。
2011年3月に国内での状況についての調査報告書を出したところだ。企業などの特定の従業員に、いわゆる標的型攻撃を仕掛けて、そのユーザーのパソコンのスパイウエアを忍び込ませる手口だ。そこから、社内ネットワークに様々な不正プログラムを送り込んで、情報を盗み出す。
今回の震災でも、かなりの数、震災に関連する連絡や情報提供を装った標的型攻撃が出てきている。
国内ではいつごろから目立ってきたのか。
日本の企業が受けた被害が分かってきたのは2008年頃から。そのときは、あるユーザーの社内にあるファイルサーバーが勝手にリブートしたことがきっかけだった。
勝手にリブートしたこと以外、情報漏えいと結び付けて考えられるような出来事はあまりなかったが、担当者が慎重で、「念のために」と調査依頼が来た。調べてみたら、勝手に情報を外部に送る不正プログラムが見つかった。
その後、2010年には製造業などでも被害の例が出てきた。大手企業の話だろうと思うかもしれないが、そんなことはない。いわゆる町工場のような企業でもターゲットにされている。
今や、様々な事業分野で分業が進んでいる。複数の企業が共同で事業を展開する場合、パートナーとなる企業は、取引先の業務上の機密情報を共有する。その分、情報の漏えい元になり得るポイントが拡大し、企業規模を問わず狙われるようになってきている。
そもそもスパイにはどうやって入り込まれるのか。
海外では最近、ソーシャルメディアを通じて従業員に近付き、そのユーザーのパソコンに不正プログラムを送り込む例が多い。ただ日本は少し事情が違うようだ、ソーシャルメディアよりは、震災に関連した連絡などと偽って、悪質なコンテンツを埋め込んだ文書ファイルを添付したメールを送ってくるケースが目立つ。
一般にばらまかれているスパムメールなら「怪しい」と感じるかもしれないが、標的型攻撃ではメールを受け取る人の業務に合わせた内容を選んでいるため、疑われないことが多い。例えば「○○の人事について」などとくれば、一般の人ならデマかもしれないと思うだろうが、関係する企業、報道機関などの限られた人に送られると事情が違ってくる。
対策はどうしたらよいか。
そもそもスパイウエアの目的は、自身でわるさをすることではなく、例えば不正プログラムを呼び込むこと。見付けるのは難しいし、それだけを駆除しても意味がない。攻撃が巧妙なだけに、入り込まれたり、情報を盗まれたりすることはある程度仕方ない。もはや、それ自体を悪いこととはいえない状況にある。
ポイントになるのは不審なサイトへのデータ送信など社外向きの通信をよくチェックすることだ。ガードを固めるなら、肝心な情報がどれか分からないようにする、その情報はオフラインにしておくといった対策があるだろう。
西本 逸郎(にしもと・いつろう)氏
(聞き手は、河井 保博=日経コミュニケーション,取材日:2011年4月4日)
