人への攻撃
Visits: 74
今回の年金機構へのサイバー攻撃は、HPの改ざんなどの「サーバーへの攻撃」とは異なり、「人への攻撃」であることが大きな特徴です。
攻撃者は、ターゲットのことを綿密に調べており、メールの差出人のみならず、その内容までも極めて妥当な内容で送りつけます。
たとえば、添付ファイルのある「昨日の議事録について」や「先日の集合写真」などのメール。
添付ファイルを開かせたら攻撃成功!
一般に、ネットワークは内部からの攻撃に対して脆弱であり、強いアクセス権限を持つユーザーのパソコンであればまさにやりたい放題です。
テレビのコメンテーターなどは、今回の攻撃を大いに勘違いしている人もおり、あからさまに怪しいメールをうっかり開封したとか、高度な技術を持つハッカーがテクニックで攻撃したように考えているようでした。
さて、過去に標的型攻撃メールについて2本の原著論文を執筆したことがありました。
まさに、年金機構で起きたような攻撃によって、一橋大学事務および教員組織がどのような反応を示したかを考察したものです。
擬似攻撃実験では、擬似攻撃メールを送ってその反応を時系列でつぶさに観察しました。
結果、3割の職員は見事に引っかかったのです。
想定内ではあるとはいえ、本当に恐ろしさを感じました。
大学では、個人情報を大量に扱っています。
成績情報などが漏れれば大学の信用を失墜させることになるのは明らかでしょう。
さらに、驚くべきことに、被験者の中には、擬似攻撃メールに丁寧な文面で返信する者さえあったのです。
微笑ましいといえばそうですが。。。
もちろん、添付ファイルも開いています。
標的型攻撃メールによるネットワーク侵入は完全に防ぐことはできません。
おそらく、気づかないうちに攻撃者の侵入を許している事例はこの瞬間も発生しているはずです。
ウェブカメラを確認してみてください。
使ってもいないのに、ONのランプが点いていませんか?
