消費者向けサービスを業務に生かす「コンシューマライゼーション」、個人の端末を業務にも生かす「BYOD」は、社員の生産性を大きく高める一方で、社員が標的型攻撃などのサイバー攻撃を受けるリスクも高めてしまう。トレンドマイクロ 代表取締役社長兼CEOのエバ・チェン氏に、社員を狙うサイバー攻撃の傾向と防御策を聞いた。
(聞き手は浅川 直輝=日経コンピュータ)
トレンドマイクロ 代表取締役社長兼CEO エバ・チェン氏
近年、特定の社員に狙いを定めた標的型サイバー攻撃が頻発している。その理由は。
企業が利用するITインフラに革新が起こると、そのスキに乗じたサイバー攻撃が必ず発生している。クラウドやコンシューマライゼーションといった革新は、標的型攻撃を仕掛けるハッカーにとっては狙いやすい「脆弱性」になった。
企業の社員は今や、FacebookやTwitter、LinkedIn、Dropboxといったサービスを公私ともに使いこなすようになった。
サイバー攻撃を行うハッカーは、そこを狙う。まずターゲットになりそうな社員について、出身高校をFacebookで、企業内のポジションをLinkedInで調べる。その上で個人のメールアドレス宛に、例えば「○○高校の同窓会について」といったメールを送る。メールを受け取った社員は、警戒することなく、メール本文中のURLをクリックしてしまうだろう。こうして、攻撃者はターゲットのパソコンにウイルスを仕込み、支配下に置く。
この社員のパソコンは、企業の業務システムへのログインにも使われる。このため攻撃者は、企業内のネットワークにも簡単に侵入できるようになる。このネットワークをたどってハッキングを繰り返し、最終的にはシステム管理者のパソコンに侵入する。そうすれば、企業内の業務システムをほぼ乗っ取ることができる。
