「気をつけましょう」は対策じゃない：PC Online

本文へジャンプ

日経パソコン

目次

2010年2月16日

「気をつけましょう」は対策じゃない

三輪信雄＝Ｓ＆Ｊコンサルティング代表取締役

Tweet

（執筆時の情報に基づいており、現在では異なる場合があります）

　前の職場で「ウイルス疑似メール」によるセキュリティ意識向上を目指した「訓練」を10年近く前に実施したことがあります。

　これは、セキュリティ担当者が、社員にウイルスへの対策意識を向上してもらうために実施していたもので、ありがちなメールのサブジェクトと本文にして、添付ファイルをクリックさせるというものです。添付ファイルを開くと「これはセキュリティ訓練です」と表示されて、開封結果がセキュリティ担当者に届くという仕掛けでした。

　当時はメールによるウイルスの感染が主流のころで、現在のようには感染経路があまりなかったのです。また、いくら「心当たりのないメールは開かないように」というあいまいな啓発や教育を繰り返しても、何を開いてはいけないのか分からないし、開くとどうなるのかも分からないだろうということで、一度ひっかかれば忘れることはないだろうと訓練を実施したのです。

　それから時を経て、現在では多くの企業でこのウイルス疑似メールによる訓練が行われるようになりました。しかしながら、ここで驚くべきことは「開封率」なのです。サブジェクトや本文をどのようなものにするかによって大きく変わるのですが、非常に単純で「これにひっかかる社員はあまりいないのでは？」と思う内容なのに、開いてしまう社員が多いのには驚かされます。

　ある会社で、初めて訓練を実施するにあたり、せっかくやるなら「ホンモノ」に近づけようと、実在する部署、社員の名前で、セキュリティ対策を促すメールを全社員に送りました。添付ファイルを開くとセキュリティ担当者に情報が通知されるものです。そうすると、約9割の社員が開いてしまったのです。つまり、ほとんどの社員が開いたということになります。

　よくある訓練のメールであれば、「これは訓練です」と表示されるので、噂が社内にすぐに広まってしまい、訓練の効果が急速に薄れていってしまうのですが、この添付ファイルでは「対策は終了しました」と、あくまでも訓練であることを悟られないようにしたのです。

　このような徹底した訓練でなくとも、少々文字化けした本文や怪しげなURLを組み込んだメールであったとしても、1～2割程度は開かれます。

　つまり、少し本気の攻撃者からすれば「ほぼ成功する」と言ってもいいくらいの攻撃手法に他ならず、「心当たりのないメールは決して開かないように」という教育は対策効果は極めて低いということになります。

　さらに、現在多くの組織が実施している「添付ファイル」による訓練をさらに高度化して、URLをクリックしただけでダメという内容にすれば、「ほぼ全員ひっかかる」ということが十分に予想されます。

　これはいわゆるガンブラーの「次の」感染手法を想定したものです。

　現在のガンブラーは、有名サイトのコンテンツをアップロードするパソコンを狙い、その有名サイトを見たユーザーのパソコンに対してウイルスを感染させるというものです。

　当然ながら、多くの有名サイトは対策にとりかかっており、今後、有名サイトがやられることは「徐々に」減っていくと思われます。そうすると企業ユーザーを狙おうとすれば効果的なのが「メール」です。

　「懸賞に当選しました」という程度のものではなく、「セキュリティ対策を至急実施してください」というような内容であれば、しかも、URLが提示されているだけであれば、ついついクリックしてしまうことが考えられます。そうするとたちまちウイルスがダウンロードされて感染させられてしまうことが考えられます。

　大きな企業の場合、WindowsのバージョンやWebブラウザーのバージョン、Adobe製品のバージョンなどが統一されていることが多く、しかも、業務アプリが動かなくなるパッチは適用されていないことが多いのです。従って、そこを狙った攻撃をされてしまうとひとたまりもないのです。

　このように特定の企業を狙った攻撃は今後行われることが考えられますし、これによりイントラネットの社内ポータルサイトがウイルス感染元になってしまった場合には、相当の被害が想定されます。

　このような被害に遭わないようにするためには、対策とは言えない従来の「気をつけましょう」で済ませるのではなく、パソコンセキュリティの新時代に適した対策を講じていかなければいけません。

著者プロフィール

【三輪信雄（みわのぶお）】

1995年より日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。上場企業経営者やITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。
政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
Ｓ＆Ｊコンサルティング株式会社代表取締役