標的型攻撃メールは厄介で恐ろしい。標的とされた企業のIDやメールアドレス、個人情報といった換金できる情報や重要機密などを窃取しようという、攻撃者の「明確な意志」があるためだ。

 攻撃者は目的を達成するまで執拗に攻撃する。1回目で成功しなければ、2回3回と手法を変えながら繰り返し攻撃してくる。手を変え品を変えながら続く攻撃で、標的となった企業は標的型攻撃メールにだまされて添付ファイルやURLリンクを開いてしまう可能性が高まる。

 新種のマルウエア(悪意のあるプログラム)や、巧妙に細工されたメールは防御や検知も難しい。ひとたび攻撃者から狙われれば、業務で普段使っているメールの開封やWebサイトの閲覧がきっかけで、知らないうちに標的型攻撃の餌食になりえるのだ。

 標的型攻撃は企業にとって回避すべきリスクである。以下、標的型攻撃メールの被害を最小限に抑えるヒントを紹介していこう。

「無害化」は万能ではない

 標的型攻撃メールの対策は技術的対策だけでは不十分で、人的対策が欠かせない。

 技術的対策としては「メールの添付ファイルを自動的に削除する」「URLのリンクをテキスト形式に変換する」といった「無害化」の手法がある。無害化すればメールからのマルウエア感染防止に効果がある半面、メールを業務利用している環境では支障が出る場合もある。

 具体的には、日常業務で「ファイルやり取り」をしている場合、添付ファイルを削除されてしまっては仕事にならない。資料などを共有するURLがメール本文内に記載されているならば、テキスト形式に変換されたとしてもURLをコピー&ペーストしWebブラウザーでアクセスするため、無害化が意味を成さない。

 メールやインターネットを業務利用している環境では、添付ファイルやURLリンクを開くかどうかの最終的な判断は人に依存する。どれだけ技術的対策を施していようとも標的型攻撃が完全に防げるとはいえないのだ。

人的対策で“気付き”を広げる

 技術的対策と併せて実施すべきなのが「人的対策」だ。機械的に対応できるところは技術的な対策を用い、そうでないところは人の気付きによってカバー範囲を広げて、個人情報漏洩などの実害が発生する前に早期に対応するのが基本だ。

 筆者はこれまで様々な顧客の標的型メール対策に携わってきた。その経験上、人的対策の能力が高い顧客は二つのポイントがうまく機能している。「明確な手順や体制の整備」と「対応手順を従業員に浸透させるための教育」である。