2011年は、専門メディアに加え、テレビや新聞でもITセキュリティ関連の話題がニュースの見出しを飾った。例えば、ハッカーグループ「Anonymous」の攻撃を受けたソニーで7,000万人以上の顧客情報が流出し、連日のように報じられたことを記憶されている方も多いだろう。
ITの進化と共にコンピュータやネットワークへの攻撃の手法も変わってきたが、「企業や組織にとって最大の脅威は社員になった」とWall Street Journalは警告する。あなたの不注意で会社全体が攻撃される可能性もあるというのだ。今回は同紙が掲載した「What's a Company's Biggest Security Risk? You(企業の最大のリスクはあなた、社員だ)」という記事を紹介しよう。
これまで、悪意あるハッカーはセキュリティホールを狙って攻撃を仕掛けるというのがほとんどだった。だがこのところ、従業員が残した形跡をたどる攻撃が増えているという。その背景には、ソーシャルネットワーク、Webメールなど、さまざまなことをWebで行うというトレンドが関係している。
例えば、ビジネス向けソーシャルネットワーク「LinkedIn」では、自分の勤め先に始まり、連絡先、役職や部署、過去の経歴、出身校といったかなりの情報が公開されている。また、便利だからと「Gmail」「Yahoo Mail」などのWebメールに会社のメールを転送している人も多い。
記事では攻撃の事例をいくつか紹介している。2009年にTwitterで発覚したあるセキュリティ事件では、ある従業員のGmailアカウントにハッカーがアクセスし、機密扱いの分厚い事業計画を入手したという。また、米EMC傘下のセキュリティ部門であるRSA Securityですら、例外ではないのだ。悪意あるハッカーが、RSAの数人の社員に「2011年採用計画」というファイル名のスプレッドシートを添付した電子メールを送ったところ、ある従業員がそのファイルを開封してしまった。もちろんファイルにはウイルスが含まれており、同社のネットワークは感染した。その結果、攻撃者はネットワークに侵入して重要なデータにアクセスしたという。これらの手法は大きく、「ソーシャルエンジニアリング」と分類されている。
事例の数が物語るように、このような攻撃は決して珍しくない。データを紹介しよう。米Check Point Software Technologiesが米国、英国など6カ国のITプロフェッショナルに調査したところ、43%が「ソーシャルエンジニアリング攻撃のターゲットとなったことがある」と回答したという。また、32%が「過去2年間で25回以上のソーシャルエンジアリング攻撃を受けた」と回答、大企業に限定するとこの比率は48%に増えるとのことだ。
これに輪をかけているのがタブレット、スマートフォンなどの高機能モバイル端末だ。紛失はもちろんのこと、これらを狙った窃盗は世界的に増えており、窃盗されるとその時点でデータを渡してしまうことになる。当然、クラウドサービスも万全ではない。記事では、クラウドストレージサービス「Dropbox」が一時的に、どのパスワードでもアクセス可能になってしまった事件を例に挙げている。
このように、われわれ自身が自分たちの企業の脅威になっている。セキュリティ企業の米MandiantのCEOは「セキュリティにおけるギャップはエンドユーザー(従業員)だ」と述べる。
厄介なことに、エンドユーザーへの対策は難しい。セキュリティトレーニングを提供する米KnowBe4が実在する企業を対象に偽の攻撃を仕掛けたところ、フィッシング攻撃に脆弱な企業が43%(1人以上の社員がクリックした)もあったという。
それでも、企業は啓蒙プログラムを展開したり、新しいツールを導入したりして「予防」を心がけているという。技術的な対策としては、RSAがネットワークモニタリングの米NetWitnessを買収し、同社の技術をベースとした製品を提供しつつ、自社でもトラフィックを監視している。社員向けの対策としては、「ソーシャルエンジニアリングによる攻撃に注意するような電子メールを定期的に送る」、「実際にフィッシングメールを送って注意を促す」といったことが紹介されている。
こうした話はどの企業にも当てはまることであり、まずは自社のルールをあらためて調べてみてはいかがだろうか。不十分な場合は、ぜひともルール作りから始めたいものだ。