今求められるサイバーセキュリティ対策

現在、各種日常業務を行うに当たり、コンピューターは欠かせないものとなった。それに伴い、コンピューターウイルスや詐欺メールなど、サイバー攻撃の手口も多様化し、情報流出などの件数も増えてきている。 　そこで、今号では株式会社Blue Planet-worksでセキュリティアドバイザーを務め、本年5月に日本医師会の事務局向けセキュリティ講習会でも講演した鴫原祐輔氏にウェブサイトやメールで気を付けなければならないことなどについて、説明してもらった。

　「彼を知り己を知れば百戦殆（あや）うからず」―言わずと知れた孫子の兵法に書かれた一節です。
　ビジネスやスポーツの世界において成功をつかみ取るための心構えとしてよく用いられますが、サイバーセキュリティの世界においても対策の心構えとして語られています。
　我々がインターネットを日常的に利用できるようになり、その恩恵を享受する一方で、サイバー攻撃は激化し続けています。もはや日本においてサイバー攻撃は対岸の火事ではなくなっており、今そこにある危機として向き合う必要があります。その上で、サイバー攻撃の手法や動向を把握し、自身がそれらに対してどの程度の備えができているのかを認識することが重要になってきます。
　メディア等を通じて目に触れるサイバー攻撃の被害は実態を見て分かるとおり、今や個人が"やらかした"問題として片付けることができなくなっています。セキュリティインシデントの発生は業務の継続性を損ない、現状復帰にも多大な労力とコストが費やされます。健全な組織運営という観点からも無視できないリスク要因になっています。
　これまで、日本は言語の壁によって、欧米諸国と比べて攻撃者から狙われにくいと言われてきました。しかし、欧米諸国が長きにわたってサイバー攻撃を受け続けた結果、ある種の抵抗力を獲得したことで攻撃者の矛先にも変化が生じるようになってきています。当たり前ですが攻撃者は目的達成のために抵抗力の低い経路（攻撃ターゲット）を探し、より少ない労力で目的を達成しようとします。
　サイバーセキュリティ企業のソフォス株式会社が調査したデータによれば、2019年にサイバー攻撃を受けた組織の割合は日本が42％、世界平均が51％です。統計的に見て他国よりも日本は狙われにくいと言えますが、攻撃を阻止できなかった割合を見ると日本が95％、世界平均が76％となっており、日本の組織はサイバー攻撃に対する抵抗力が低いことが分かります。
　サイバー攻撃に対抗する対策ツールは今や欧米も日本も同じものを利用することができます。組織の情報システム部門が検討を重ねて安全・安心な環境を構築していくのはどの国でも変わらないでしょう。では、どこで差が生じてしまうのでしょうか。
　過去のセキュリティインシデントを分析すると、サイバー攻撃が成立する決定要因の多くが「人」であることが分かっています。結局のところ、組織としてどれだけ強固なセキュリティ対策を施していたとしても、ユーザーの行動が攻撃の成否を決めてしまうということです。難攻不落の砦を築いても、ユーザー自身が敵を招き入れたり、誘いに乗って外に出てしまえば砦は何の役にも立ちません。だからこそ、我々は孫子が説いたとおり「敵」と「己」を知らなければならないのです。
　一人ひとりが理解・意識して脅威と向き合えることができれば、「百戦殆うからず」の実現に近づくことができるでしょう。

　インターネットを利用する上で、ユーザーが最も身近に利用するウェブサイトには「水飲み場攻撃」と称される、罠を張って待ち伏せする攻撃手法がよく利用されます。昨今ではSNS等の人が集まる場所に仕掛けられやすいことが調査によって分かっています。
　例えば、有名人になりすましたり、人の目を引くコメントを投稿する等、コンテンツの特性を生かした攻撃を仕掛けやすいことが、SNS等に罠が張られる理由です。
　最終的に攻撃者はフィッシングサイト（偽のウェブサイト）へ誘導し、機密情報等を盗み出そうとします。昔と違って明らかにデザインが異なるわけではなく、専門家が見ても判別できない程の精巧さがあります。
　フィッシングサイトに騙（だま）されないようにするポイントは、（1）個人情報や機密情報を入力するウェブサイトはブラウザーのお気に入りに登録して使う、（2）メール等で登録情報の変更を要求されたら、本文内のリンク経由ではなく、検索エンジンやお気に入りからサイトへアクセスする、（3）不安をあおるメッセージが出たとしても無視する―等で、これらを意識することで、被害の回避が可能となります。
　また、加えて別掲のウェブサイトに関するセルフチェックポイントも参考にして下さい。

ウェブサイトに関するセルフチェックポイント

• アドレスバーに表示されるURLの確認
  見た目上は普段見慣れたウェブサイトであっても、アドレスバーに表示されるURL がアクセス先のドメイン名等を持ったものであるか確認する。
• 入力を要求される場合はページ内リンクをチェック
  個人情報等の入力を求められる場合、入力箇所以外にあるリンクが無効化またはページ内に留まるようにリンクが設定されていないか確認する。
• 何らかの変更を要求される場合は連絡元を確認
  突然、何らかの変更要求を受けた場合、連絡元のウェブサイト等で公開されている注意喚起情報等を確認する。また、メールであれば件名で検索すると良い。
• 「お気に入り」や「検索エンジン」からアクセス
  個人情報等の入力を求められる場合、メール内のリンク等からではなく、あらかじめ「お気に入り」登録したリンクや検索エンジンからアクセスし直す。
• バナー広告に何を警告されても無視
  不安をあおるようなバナー広告が表示されても基本は無視する。Windowsのアラートを偽装するものもあるが、自分で対処せずに情報システム部門やしかるべき相談窓口（例えば、独立行政法人情報通信機構の「情報セキュリティ安心相談窓口」）に相談する。
• バナー広告は触らない
  画面に表示されるバナー広告内にある「×」「いいえ」「No」等の拒否する選択肢があっても、まともに機能する保証はないのでページを閉じる。
• 画面が遷移しても慌てない
  何かの拍子でページが遷移してしまうことがあっても、慌てずにページを閉じる。ユーザー情報を取得した等のメッセージがあっても無視する。
• 「許可」してしまったら報告
  ブラウザーの設定を変更する通知ウィンドウを誤って触ってしまい、何らかの設定を「許可」してしまった場合は、速やかに情報システム部門やしかるべき相談窓口（例えば、独立行政法人情報通信機構の「情報セキュリティ安心相談窓口」）に相談する。

　 インターネット上におけるコミュニケーション手段として古くから使われている「電子メール」は、脅威の侵入経路として最もよく利用されます。
　近年、深刻な被害をもたらしているのが「ビジネスメール詐欺」と呼ばれ、実在する人物や組織になりすまし、フィッシングサイトへの誘導やウイルス感染を誘発する攻撃です。
　ビジネスメール詐欺の特徴は、受信したユーザーが「怪しい」と認識するのが極めて困難であることが挙げられます。差出人の詐称、正規メールで利用された本文が流用されたり、ウイルス等を直接添付しないといったメールのセキュリティ対策をすり抜ける構造を持ち、人間の認知能力や心理等の弱みを突いて、それが危険なものであると判断できない細工が施されています。
　昨年、世界的に猛威を奮った「Emotet（エモテット）」の感染手法として利用されており、感染したユーザーの受信メールを盗み取り、そのメールの本文を流用して感染したユーザーが過去にやり取りした相手にEmotetに感染させる仕掛けを実装して送りつけることで、爆発的に感染が広がってしまいました。
　ある種のお作法として知られている「怪しいメールを開かない」という教えは、こうした脅威を回避する上ではもはや適切なものではありません。そのため、最終的にはユーザーによる見極めが重要となります。
　ビジネスメール詐欺を見破るためのポイントは五つあります。（1）差出人のメールアドレスが本文中で名乗っている人物や組織が利用しているものではない、（2）妥当な内容が本文に書かれていても自身に関係のない（身に覚えがない）内容またはメールで伝えるべき内容ではない、（3）Microsoft Office（WordやExcel）ファイルが添付されている場合にマクロの有効化を求めてくる、（4）Microsoft Officeファイル以外が添付されている場合にはファイルの拡張子がアイコン表示されたアプリケーションと異なる、（5）個人情報や機密情報の登録内容を変更するために本文中のリンクをクリックさせようとする―といった項目のうち二つ以上該当する場合は疑って掛かることを推奨します。
　別掲のメールに関するセルフチェックポイントを意識して受信メールをチェックしつつ、どうしても判断がつかない場合は不用意に操作せず、情報システム担当や然るべき窓口に相談しましょう。

メールに関するセルフチェックポイント

• 差出人のメールアドレスを確認する
  本文中で名乗っている人物と差出人のメールアドレスの整合性が取れていることを確認する。特に@より後ろの部分が名乗っている組織のドメイン名かどうかは必ず確認する。
• 本文の内容確認
  本文に記載された内容が自分に関係のある内容であるか確認する。見知った相手であっても、脈絡のない内容であれば疑って掛かる。
• 本文内の文脈や文法間違いの確認
  攻撃者の多くは日本語に不慣れな場合が多く、使用する単語や全体の文脈におかしいポイントが存在していることが多い。
• 過去にやり取りした相手であれば署名欄を確認
  過去にやり取りした相手であれば、過去のメールに記載されている署名欄が同じかどうかを確認する。
• 添付ファイルは拡張子を確認
  攻撃者が使う手口として表示されるアイコンを偽装した「二重拡張子」を用いることが多いため、添付ファイルは実行前に必ず拡張子を確認する。（例：pdf.exe）
• 添付ファイルのマクロは有効化しない
  ExcelやWordといったドキュメントファイルが添付されていた場合、例えそれが誰から送られたものであろうと「コンテンツの有効化」は絶対にしない。
• 本文内にある外部サイトへのリンクを確認
  本文内に外部リンクをクリックするように誘導している場合、クリックはせず、カーソルを合わせてどこに転送しようとしているか確認する。
• クラウドストレージのダウンロードリンクは事前確認
  ファイルの受け渡し等でクラウドストレージを利用する場合、相手方が当該クラウドストレージを利用していることを事前に確認する。

　繰り返しになりますが、セキュリティ対策において最も重要なことは自身が脅威を理解・意識することです。
　地震大国と呼ばれる日本において、大規模な地震が発生しても諸外国に比べると被害が軽微で済んでいるのは、我々が常日頃から地震という脅威を理解し意識してきたからではないでしょうか。
　振り返ってみれば、幼少の頃から避難訓練を行い、過去の震災から学んだ教訓を実践し、情報をいち早く収集・共有する仕組みがあり、有事の際にはお互いが協力できる文化が醸成されているからこそ、結果につながっているのだと考えています。
　サイバーセキュリティにおいても基本的には同じであり、日々の小さな積み重ねが大きな結果を生み出すことにつながるのです。サイバーセキュリティの世界に身を投じる者として、「全てを理解して下さい」とは言いませんが、このような機会を通して少しでも興味を持って頂けることを期待しています。