「特定の企業や人物を狙う『スピアー攻撃(スピアーフィッシング攻撃)』が盛んだ。ターゲットになりやすいのは、企業の重要人物。実際、我が社のCTO(最高技術責任者)もスピアー攻撃のターゲットになった」。米スリーコム傘下のティッピングポイントでセキュリティリサーチ部門シニアマネージャーを務めるロヒト・ダマンカール氏は2008年3月11日、都内で開催したセミナーにおいて、スピアー攻撃の危険性などについて解説した(図1)。
ティッピングポイントは、不正侵入防御システム(IPS:Intrusion Prevention System)などを手がけるセキュリティ企業。IPSとは、ネットワークを流れるデータを監視し、攻撃やウイルスといった不正なデータを検出すると、そのデータを遮断して被害を防ぐセキュリティ製品。
ダマンカール氏によれば、攻撃者の多くは、金銭目的で不正侵入などを行うという。例えば、企業ネットワークに不正侵入して、お金になりそうな機密情報を盗む。その場合、よく用いられる手口の一つがスピアー攻撃。企業の特定ユーザーに、ウイルスを感染させるようなメールを送信し、そのユーザーのパソコンを乗っ取る。そして、そのパソコンを足がかりにして、企業の機密情報を盗み出す。
こういった手口では、「最初に、攻撃者はターゲットとする企業ネットワークに侵入し、その企業における重要人物が誰なのかを調べる。そして、その人物あてに、スピアー攻撃を仕掛ける。重要人物には、お金になりやすい機密情報が集まるからだ」(ダマンカール氏)。
ダマンカール氏によれば、スリーコムのCTOであるマーク・ウィルビーク=ルメア氏にも、スピアー攻撃を目的とした偽メールが送られてきたという(図2)。メールは、米連邦取引委員会(FTC)から送られたように見せかけている。内容は、スリーコムが関係する不正行為がFTCに報告されているとして、その報告書をダウンロードして読みように指示するもの。
指示通りにメール中のリンクをクリックすると、Microsoft Wordの脆弱(ぜいじゃく)性を突いて感染するウイルスがダウンロードされる。ウイルスの実体はWordの文書ファイル(拡張子がDOC)なので、だまされる危険性が高い。
しかしながら、セキュリティ企業のトップの一人ということもあり、ウィルビーク=ルメア氏のセキュリティ意識は高かったので、「メール中のリンクを安易にクリックするようなことはなかった」(ダマンカール氏)。ただ、一般企業の重役だったら、被害に遭う可能性は高いだろうという。
スピアー攻撃の被害に遭わないためには、「たとえもっともらしいメールであっても、メール中のリンクを安易にクリックしないことが重要」とダマンカール氏は強調する。加えて、「IPSのようなセキュリティ対策製品を導入しておけば、万一クリックした場合でも被害を防げる」(同氏)という。
