「巧妙化する標的型メール」
2015年06月03日
「巧妙化する標的型メール」
「巧妙化する標的型メール」
日本年金機構の年金情報を管理しているシステムから大量の個人情報が流出した問題では、「標的型メール」という手口を使った不正アクセスが行われました。
その特徴などについて、三輪解説委員に聞きます。
Q 電子メールについている怪しい添付ファイルをクリックしなければ防げたような気がしますが。
A 現実的には、なかなか防ぐのは難しいと思います。
標的型メールというのは、特定の省庁や企業の職員に電子メールを送りつけ、添付されたコンピューターウイルスによって、個人情報をだましとるものですが、メールの文面は「業務メール」にそっくりです。
例えば「会議の資料を送ったから見ておいてください」など、思わず開いてしまうような文面になっています。
また、ウイルスは対策ソフトで検出することが困難なことも特徴です。ウイルスは、その攻撃のために特別に作られたもので、対策ソフトが対応していないため見つけにくい傾向があります。
Q 感染を防ぐことは、かなり難しいんですね。
A さらに厄介なのが、感染したパソコンが遠隔操作されることです。勝手に電子メールを書いて送ったり、内部のデータベースを閲覧することなどもできてしまいます。
Q 省庁や企業はどのような対応を取ればいいのでしょうか。
A 流出被害を参考に対策を考え直す必要があります。そのためには、今回の被害の検証とセキュリティに関わる人の間での情報共有が必要です。例えば、どのような情報管理をしていたものが被害にあい、どういう対策が有効だったのかということです。しかし今回、ウイルス感染が確認された5月8日から、警察に相談した5月19日までの経緯も不明な点が多く、もっと情報開示しないと、対応が適切だったのか検証も出来ません。
こうした情報は、民間企業も含めた国全体の情報セキュリティのレベルを上げるために極めて重要です。
Q 今後はじまるマイナンバー制度が心配だという人もいますね。
A そうですね。ITに依存した取り組みが増えると、リスクも高まります。今こそ、情報流出を食い止めるための抜本的な対策を国全体で考え直す必要があります。
/////
不正アクセスで年金情報125万件が流出か
年金個人情報流出 都内会社サーバー経由か
年金個人情報流出「2次被害」懸念も
/////