「自分たちが何を守るべきかをしっかりと見極めてほしい」――。
ソフトバンク・テクノロジー セキュリティエヴァンジェリストの辻伸弘氏は、2015年9月30日から10月2日まで東京ビッグサイトで開催している「ITpro EXPO 2015」のメインシアターで行われた「辻伸弘の裏読みセキュリティ事件簿Live!~数多の脅威を知るひととき」と題した講演に登壇。講演の冒頭で聴衆にこう呼びかけた(写真1、2)。
辻氏は、「脆弱性を利用しよう」「フィッシングサイトを作ろう」「標的型攻撃メール訓練を知ろう」といった3つのテーマについて、デモを交えて解説した。
最初の「脆弱性を利用しよう」では、脆弱性を持つパソコンから細工されたWebサーバーにアクセスすると、そのパソコンの制御が奪われる様子を実演した。辻氏は、「脆弱性を突かれないためには、パッチを当てたり、常に最新のバージョンにアップデートしたりすることが必要」と説明。そのためにも、「普段から自分たちが使っているソフトウエアやバージョンをきちんと把握しておいてほしい」(辻氏)と訴えた。
次の「フィッシングサイトを作ろう」では、日本経済新聞社グループが提供するサービスの共通ID「日経ID」のログイン画面を装ったフィッシングサイトを作ってみせた(写真3)。辻氏は、「ツールを使えば本物のページのコピーを作れるので、画面を見ただけでは偽物のサイトであると気づくのは難しい」と述べた。
さらに辻氏は、フィッシングサイトに誘導するメールについても触れ、HTMLを使ってメール本文に表示されるURLを偽装する方法など、実際に使われている攻撃者のテクニックを紹介した。メールが偽物と気づかれないようにするテクニックも高度化しており、絶対に引っかからないようにするのは難しいという。
「標的型攻撃メール訓練を知ろう」では、まず日本年金機構の情報漏洩で実際に使われたメールを例に、昨今の標的型攻撃について解説した。「攻撃者は、実在する文章を使ってメールを送りつけてくるので、偽物とは気づきにくい。誰もが引っかかる前提で、引っかかったときに組織としてどう対応すべきかを準備しておくべき」と訴えた。
辻氏はセキュリティ企業がサービス提供する標的型攻撃メール訓練についても言及。標的型攻撃メール訓練とは、社員が怪しいメールを開封しないように企業で実施する訓練のことである。
これについて辻氏は、「開封率を下げることだけを目的とした訓練では、効果は限定的。それよりも開封してしまったら『すぐに上司にエスカレーションできるか』など、正しいアクションをとれるか確認するための訓練のほうが大切だ」と話す。辻氏は、ウイルス感染を風邪に例え、「風邪を引かないことだけに注力するのではなく、風邪を引いたときに風邪を悪化させないための準備をしておいてほしい」と述べた。
最後に辻氏は、「攻撃者の目的は侵入ではなく、あくまでもその奥にある情報の窃取。攻撃者の侵入を完全に防ぐことはできないが、冒頭で述べたように自分たちが守るべきものを見極めて、それだけは死守できるセキュリティ対策を実施してほしい。そのお手伝いをどこかで私もできればうれしい」と述べ、講演を締めくくった。
