企業はサイバー攻撃者侵入されることを前提にした対策が必要――。
個人情報を漏洩させたサイバー攻撃の報道が増え、こうした意見をよく聞く。しかし、事案の報告書を見ると、不十分な対策が原因で情報漏洩を防げなかった企業が少なくない。攻撃者の姿が見えないサイバー攻撃は、身近な犯罪と感じにくいのかもしれない。
脅威は目の前にある。本特集では、見えない攻撃者の実態を知るためにサイバー犯罪で使われる技術を「攻撃者」側の視点から追った。
第1回は、送信元を詐称して電子メールを送る「なりすましメール」の実態を見ていく。電子メールはあらゆる企業や団体が業務で使っており、迷惑メールや架空請求などの身近な“サイバー攻撃”を受けた経験のある人も多い。
無警告で届いたなりすましメール
今回、メール関連技術に詳しい技術者に、匿名を条件に協力を得た。記者が用意したフリーメールのアドレスに、送信元を偽ったメールを目の前で送信してもらった。
1分もかからず送られてきたメールは、普通と変わらないように見える。画面に警告などは表示されていない。これは本当に送信元を偽った“なりすましメール”なのだろうか。
送信元を偽ったメール
[画像のクリックで拡大表示]
入手したメールを持ってインターネットイニシアティブ(IIJ)の櫻庭秀次アプリケーションサービス部担当部長を訪ねた。同氏はなりすましメールを含めた迷惑メールの対策を協議する「迷惑メール対策推進協議会」の代表者だ。
インターネットイニシアティブ(IIJ)の櫻庭秀次アプリケーションサービス部担当部長
[画像のクリックで拡大表示]
櫻庭氏は記者が持ち込んだメールを調べ、「なりすましメールだ」と断言した。
