2015年10月からマイナンバー制度がはじまります。
そんな中、それどうなのよ?という事案が。
おいおい、こんなのでマイナンバー制度なんてはじめちゃっていいのかよ?という声もちらほらきくのですが、個人情報流出はともかくとして(置いといてはいけないことではありますが)、この個人情報流出のきっかけになった手口について「サイバー攻撃」なんて括られ方をされながらも、実は明日は我が身な話題でもあるのでちょっと取り上げておきたいと思います。
日本年金機構の発表文書から読み取れるのは、これは「標的型攻撃メール」を担当者がクリックしてしまったことにより情報が漏洩してしまったということです。
標的型攻撃メールとは
標的型攻撃メールはわかりやすく言えば、スパムメール、フィッシングメールがより巧妙なものになったものと考えてください。
不特定多数に送られるスパムメール、フィッシングメールとは違い、標的を絞り込んで、よりその人がクリックしやすいような中身のメール(勤務先名が入っていたり)になっていたりします。
クリック→すぐ発動とは限らない
事象が発生した原因として「ウィルスメールの添付ファイルをクリックした」となっています。
これがなかなか厄介で、添付ファイルをクリックしたことにより発動したプログラムはすぐに発動するわけではなく、例えそのPCに最新のウィルス対応ができるようなセキュリティソフトが入っていたとしても、検知されないように潜伏して、PCの操作ログをとったり、バックドア(外部の悪意あるサーバーにデータを送信するための抜け穴)を開けたり、というようなことをじっくり時間をかけておこないます。
なので、正直な話、「ああこれは怪しいメールだな」と思って削除しようとした時に、手元が狂って添付ファイルをクリックしちゃったとしても、それをクリックしたのかどうかも分からないような作り方をされていることがあります。怖い怖い。
おれ/私は大丈夫、だと思う人ほど気をつけよう
意識高い/低いという言い方はあまりしたくはありませんが、やはりこの手に引っかかりやすい人達というのは一定以上います。そして一番気をつけなければいけないのは「おれ/私はそんなの絶対ひっかからないわ」と自負している人たち。
そういう人たちも被害に合う可能性が捨てきれないくらい手口は巧妙になってきている気がします。
前述しましたが、悪意のあるメールの添付ファイルをクリックして、悪意のあるプログラムが発動したとしても、ウィルスソフトやセキュリティソフトでは検知されないよう、敵も頭を使ってます。
昔からコンピューターウィルスとウィルス対策ソフトはいたちごっこ、なんて言われ方をしていますが、セキュリティソフトの類では手の打ちようがないレベルにもなってきています。それだけインターネット接続環境は脅威にさらされているということです。
一番の対策は「怪しいものはクリックしない」です。ホントこれ。他人(システム、ソフト)任せはいかんです。
私も気をつけないと…
*この記事はiPhoneアプリSLPRO X for WordPress & Movable Typeで書きました
SLPRO X for WordPress & Movable Type
カテゴリ: 仕事効率化, ソーシャルネットワーキング
コメント