情シス奮闘記 中小企業編
第2回 テーマ「サイバー攻撃」
2017年3月
えっ、うちのPCが乗っ取られて、ネットワーク攻撃の踏み台に!?
機械部品製造業のアミダ社は社員が50人余り。情報システム担当は、総務と兼任の中村和人氏が一手に引き受けている。市販のパッケージソフトウェアを使った給与・会計システムから、10年前にSIベンダーが作ったという資材購入・製品販売システムに至るまで、すべての面倒をみているのが中村氏だ。実質的に1人で情シスを担当している状態なので、セキュリティ対策はおざなりになりがち。そんなアミダ社には日々様々な問題が起こっている。
お得意先からクレーム。「おたくから変なメールが送られてくる」
「中村さん、ユメクラの総務部のタバタさんという方からお電話がありましたよ。なんか至急、電話をくれって」
ランチを終えて会社に戻ると、総務部の加藤彩が中村和人に言った。
「えっ、ユメクラのタバタさん? 総務の人? なんだろう」
ユメクラ製作所はアミダ社の主要な取引先だ。営業や製造部門とは親しく付き合いをしているが、総務部同士の関係はそれほどない。訝しく思いながら、中村は電話をかけた。タバタ氏は偉い剣幕だった。
「おたくのメールシステムのセキュリティはどうなっているのよ。ここんとこずっと、おたくのドメインからうちの営業宛てにおかしなメールが送りつけられているんだよ」
一体、どういうことだろう。
「えっ、どういうメールなんでしょうか」
「いま、画面ショットを撮って送るから」
と届いたメールの文面は図のようなものだった(image01.jpg)
「なんかおかしなメールですね。文面もぶっきらぼうだし、差出人の署名もないし……。これってたしかに当社の社員が御社に送ったものなんでしょうか」
「差出人を見ると、おたくのドメインだよ。ただ、送られてきたうちの営業も、差出人の名前には覚えがないし、“第三商業”なんていう取引はしたことがないというんだ」
「この添付ファイルはほんとうに契約書なんでしょうか」
「このメールは怪しいと思って、受け取った社員が報告してくれたよ」
タバタ氏の「怪しい」という言葉で中村はピンと来た。もしや、これが噂の添付ファイル付きのウイルスメールか。
この手のメールについては、警視庁やセキュリティソフトのベンダーなど各方面から警告が発せられていることを、中村は覚えていた。
件名は「注文書送付」「備品発注依頼書の送付」「ご請求額」「写真をお送りします」などいかにもビジネスメールらしい体裁だ。ただ、日本の会社のメールにしては、文面は素っ気なく、たいていはZIP形式の圧縮アーカイブの添付ファイルがついている。
このZIPファイルが曲者だ。手動で展開・解凍すると、例えばJavaScriptファイルがあらわれ、それを開くと、ランサムウェアを強制的にダウンロードしたり、ネットバンキングで不正送金させるウイルスに感染するという。ユーザーに手動でウイルスを起動させる古典的な手口ではあるが、終息したかと思うとまた息を吹き返す。今年の1月にも警視庁の公式Twitterが「ウイルス付メールが拡散中!」と警告を発していた。
それにしても、なぜうちの会社のドメイン名が使われているんだろう。中村は頭を抱えた。
添付ファイルを開いたらPCが乗っ取られ、それが踏み台に
それからの1週間が大変だった。
たしかに送信者はアミダ社のドメインを使っているが、メールの発信者は社内にはいない。誰かのPCが乗っ取られ、そのアドレス帳から任意に宛先を引きだし、そこに自動的にウイルスメールを送ったとしか考えられない。つまり、ユメクラ製作所にメールが送られる前に、アミダ社のPCがウイルスに感染しているのだ。
中村は、社内の全PC(といってもアミダ社は小さな会社なので50台余りだが)をあらためてウイルススキャン。そうすると一人のPCから、ウイルスに感染した兆候が見つかった。
「別に犯人呼ばわりしたくないんだが、仙道君。君が怪しい添付ファイルを開いたおかげで、送信者リストが漏れてしまったんだよ。君のPCがウイルスメール拡散の踏み台に使われたんだ」
「えっ、そんなことってあり得るんですか」
先日も、顧客情報の入ったPCをバーに置き忘れるという失態を演じた、営業部の仙道淳。また彼がキーパーソンだ。
「いつも口を酸っぱくして言っているだろ。相手が誰だか特定できない人からのメールには注意しろって。そこに添付されているファイルは絶対に開いちゃいけないって」
「ああ、そうでした。ファイルを開いても何も起こらなかったんでなんだろうと思って。うかつでした」
中村はすぐにユメクラ製作所へ社長と共にお詫びに伺い、社内セキュリティ対策を徹底することを約束。併せてユメクラ社のPCの感染状況を確認してもらった。こちらはアミダ社よりもずっとセキュリティ対策が徹底されている。
「文面から怪しいと思った社員が、私にすぐ報告してくれた。誰もその添付ファイルを開いたものはいないから、大丈夫だよ」と、ユメクラのタバタ氏は言ってくれた。
ユメクラ社以外にもウイルス付きメールが送信されているかどうかが心配だったが、仙道のメールの発信記録やサーバへのアクセスログを見る限り、その可能性は低かった。
中村は社内全員メールで、今回の事態発生を伝え、「見知らぬ人からのメールについている添付ファイルはもちろん、知っている会社の人からのメールでも怪しそうなものは絶対に開かない」ことをあらためて周知徹底することになった。この手のメールの最近のやり口やメールの文面を具体的に紹介しながら、注意を促した。
迷惑メール判別を基本に、ネットワークセキュリティをチェック
「社員一人ひとりが気をつけることは大切だけれど、個人の判断に任せてしまっていては、いつ同様のケースが起こらないとも限らない。迷惑メールをチェックしたり、PCの操作ログを記録したりするソフトウェアを導入する必要があるんだよな」
と、中村は加藤を前に、独り言のように呟いた。
「私の友人の会社では、添付ファイルには必ずパスワードをかけて、パスワードそのものは別のメールで送るように徹底されているそうよ。誰がどこにメールを送ったかも、自動的に全部記録されているし、そもそも重要なメールは上司の人の承認がないと送れないなんてこともあるんですって」
「うん、そういう仕組みがあるのはわかっているけれど、うちみたいな会社だとあまり大掛かりなシステムを入れるのもなあ」
「探せばきっと、中小企業向けのセキュリティサービスがあるんじゃないかしら」
「そうだな。ちょっと調べてみよう」
ということで、中村はセキュリティベンダーや他のIT企業が提供する法人向けのメールセキュリティサービスを調べてみることにした。
迷惑メールの選別機能がまずは重要だ。これまでもアミダ社では、PCの一部には迷惑メール判別ができるセキュリティソフトをインストールしているが、ウイルスデータの更新は個人任せだった。
「まずは全部のPCにインストールし、データ更新も組織的に簡単にできるものに変更しなくてはいけないな」と、中村は考えた。
他にも、誤送信のチェック、最近増えているといわれる標的型攻撃メールやなりすましメールの検知、添付ファイルのダウンロードや本文のURLをクリック時に注意を促す機能なども欲しかった。
幸いにも比較的安価で、かつ特定の機器を追加しなくても導入可能なサービスを見つけることができた。
しばらくの間、中村はサービスの選定と導入に追われた。加藤がいろいろと手伝ってくれたのは言うまでもない。
「社長はそれでも高いって文句を言ってましたね」と加藤。
「でもね、今後、ユメクラさんのような重要顧客に迷惑をかけることがあったら、会社の信用問題に関わるからね。これは必要欠くべからざる投資ですよ、と説得したんだよ」
「これで、メールは安泰かしら」
「いやいや、油断禁物。これから何が起こるかわからない。彩ちゃんにもまたお世話になることがあると思うよ」
「はい、任せてください」
いつも明るい加藤の笑顔に、ほっとする中村だった。
だが、この一件が無事に解決したと思ったのもつかの間、再び事件が発生。誰かがアミダ社の情報を漏えいしてしまったのだ。そのとき中村がとった行動とは一体……?
今回のポイント
- 添付ファイル付きのメールを送り、ファイルを開くことで不正なサイトに誘導したり、ウイルスをまき散らすウイルスメールはなくなっていない。
- そうしたウイルスに感染したPCが次のターゲットを探すための踏み台に使われることがある。
- 最近のメールセキュリティの状況をたえずウォッチし、その情報を社員に伝えるのが情シスの役割。
- メールに限らず、ネットワークを介した外部からのサイバー攻撃は年々巧妙になっているので、それを組織的に防衛する体制づくりが欠かせない。
- セキュリティソフトに最新のプログラムを適用するなど、セキュリティホールを塞いでおくことも重要だ。
- それでも1人の情シス担当ができる対策には限界がある。中小企業向けのセキュリティサービスもあるので、導入を検討したい。
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社11年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
- 早田 昌司:入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す
*文中の氏名・社名はいずれも実在するものではありません
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」