情報セキュリティ(巧妙化する脅威、察知能力も必要)
組織を狙うサイバー攻撃の巧妙化により、注意を払うべきポイントも変わってきています。特に近年、特定の組織の保有する情報資産を狙って、多くの資金と人を使い、何ヶ月も、ときには何年もかけて、成功するまで攻撃しつづける「持続的標的型攻撃」が、日本においても深刻な問題になっています。
犯罪グループは、事前にターゲットとする組織のあらゆる脆弱性を調査した上で、侵入する最も効果的な手法を駆使します。この攻撃に多く悪用される手法が、人間の心理や行動のすきを突くソーシャルエンジニアリングです。
なりすまし、偽装メールが代表的な手口で、従業員に対して送付するメールの本文や件名、送信者を実在の人物や組織からの業務連絡、情報共有のように偽装し、添付ファイルを業務上の有用なファイルに見せかけて開かせます。添付ファイルにはアプリケーションの脆弱性を悪用してパソコンを乗っ取るような不正プログラムが仕込まれているのです。
日常のやり取りからずれた内容やタイミングなどから察知して、少しでも不審に感じた場合、メールの差出人本人への確認を行い予防に努めましょう。
Reference:TREND MICRO internet Security Knowledge
マキコーポレーション「情報セキュリティノーティス」より
コメント