雑談力を強くする時事ネタ・キーワード（第7回）JTBも被害に。忍び寄る個人情報窃取の魔の手

　企業や団体のシステムが狙われて個人情報などの情報が流出した事件は、今回のJTBに限ったことではなく頻発している。攻撃者側の手口は巧妙になり、人間の心理のスキを狙ったものへと進化している。特定の組織の情報を窃取（せっしゅ）することを目的にした「標的型攻撃メール」では、相手は狙いとなる組織を定めて、とにかく巧妙な手口でアプローチしている。

　初期の標的型攻撃に使われるメールは、英文やたどたどしい日本語で記載され、見るからに怪しい実行形式の添付ファイルを伴っているようなケースも多かった。パソコンにウイルス対策ソフトを導入し、「不審なメール」は開かないといった社員教育を施す程度でかなり防げた。しかし、今回のJTBの事件では、ウイルスが添付されたメールは航空会社系列企業からの送信を偽装していたという。タイトルや内容も正規の業務に関連すると感じるもので、JTBが行った記者会見でも「開封はやむを得なかった」とされるほどだった。

　こうした経緯を見ていくと、「不審なメールは開かないという対策を徹底している」だけでは、最新の標的型攻撃からシステムや情報を守ることが難しくなっているのが分かる。より一層のセキュリティー対策が求められるわけだ。これまで標的型攻撃に対する守りを徹底してこなかった企業や団体は、こうしたトラブルを他山の石として守りを早急に固める必要がある。

システムと運営の両面で改善を積み重ねる

　手口が日々、巧妙化していく標的型攻撃から企業内のシステムや情報を守るために「これだけをすれば万全」という特効薬は残念ながら存在しない。システム面でセキュリティー対策の仕組みを整え、運用面でシステムを利用する人材のスキルを高めるという、複数の地道な対策の積み重ねによって少しでもリスクを減らすしかない。

　システム面では、自動的に「危険なファイル」を検知し、「外部への不審な通信」を自動的に遮断するといった機能の導入は必須だ。ただし、多くのソフトや機器を導入するとなるとコストや人員の確保といった課題があるし、セキュリティーの強化で業務上の使い勝手が悪くなっては本末転倒でもある。

　こうした課題を解決する1つのソリューションとして、統合的にセキュリティー機能を提供するUTM（Unified Threat Management：統合脅威管理）がある。ファイアウオール機能やアンチウイルス機能、情報窃取を狙った詐欺行為から守るアンチフィッシング機能、内部に侵入したウイルスによる外部へのアクセスを制御するIPS（Intrusion Prevention System：侵入防止システム）などの機能をまとめて提供する。ゲートウエイで一括管理が可能で、最新の情報への更新作業も一元化できる。

　運用面では、実際にシステムを利用する人材へ継続した教育が求められる。情報セキュリティーに対する知識や意識を高める研修を行うだけでなく、巧妙化する標的型攻撃の手口をあらかじめ実体験するプログラムを活用し、守りを固めることも有効だ。

　標的型攻撃メールは、実際に取引のある企業などからの業務上のメールを装うケースもある。そうした事態に対応できるように、疑似的な標的型攻撃メールを実際に従業員に送信し、だましのテクニックを実体験する「攻撃型メール予防訓練プログラム」も世には提供されている。定期的に訓練を行い、人材の側の対応力を高めることが、標的型攻撃に対する有効な防衛手段といえる。

　JTBによるとi.JTBでは2年前から毎月2回の標的型メール訓練を実施してきたという。それでも、従業員は標的型攻撃メールだと気づけなかったのは、今回のトラブルの教訓でもある。システム面と運用面の双方のセキュリティー対策は、常に見直し、向上を図ることが必須なのだ。情報流出によるリスクから「会社や団体の価値」を守るために、手間もカネも惜しむことはできない。