非常に多くのインシデントの裏には人の悪意の存在があり、システムの不備や管理の不備を突く。そんなことしないだろうという善意の盲点を内部から外部からと堂々と犯していく。犯罪者に対しては、性善説では対応できないのが情報セキュリティのシーンだ。できることからやっていくしかない。
セキュリティベンダーのカスペルスキーは公式ブログで、ひとつの事例を紹介し、注意を促している。出張や長期休暇を取るとき、多くの人が自動応答メッセージ"Out of office"メールを設定するが、自動応答メッセージは通常、あなたが不在の期間、コンタクト先などの情報が入っている。場合によっては、現在進行中のプロジェクト名に言及していることもある。このような自動応答メッセージは一見、無害に見えるがビジネス上のリスクをもたらしかねないという。
誰がこのメッセージを受け取るのかを管理できない場合、自動応答メッセージはあなたにメールをした人全てに送られてしまう。たしかに、そのようなメールを受信することは、たまにある。普通の人であれば、全く気にも留めないはずだが、"何かに利用してやろう""お金に変えられる方法は?"と考えるのが犯罪者たちだ。スパム業者は通常、膨大なデータベースを使って次々とメールを送るが、自動応答メッセージがフィッシングメールに対して応答した場合、メールが提供する情報には名前、所属部署、仕事のスケジュール、電話番号などがわかり、これを使ってスピアフィッシング(spearfishing)攻撃を仕掛けることができるとその手口を紹介している。
手口
例えばAさんが休暇を取るとする。Aさんは休暇前に、"3月27日まで休みを取ります。その間、Camomileプロジェクトに関することはB(メール、電話番号)に、Medusa(デザイン会社)の再デザインについては、C(メール、電話番号)にお願いします"という自動応答メッセージを作成したとする。業務の割り振りを指示する内容だ。
Aさんが休暇に入った後、この自動応答メッセージが返ってきた悪意ある人物は、Medusaのディレクターと見せかけ、Cさんにメールを送る。Aさんとの話し合いに言及し、UIデザインについてのチェックをCにお願いするという内容だ。こうなると、Cさんがそのメールに添付されている"UIデザイン"のファイルへのリンクをクリックする可能性は極めて高くなる。そして感染してしまう。
ほかにもサイバー犯罪者は従業員の不在に言及して電子メールをやりとりしながら機密情報を聞き出すことも考えられる。企業についての情報が増えるほど、代理の従業員が内部のドキュメントを転送したり、機密情報を明かす可能性は増えるだろうと指摘している。送信元メールアドレスの偽装やそれらしいフリーメールを使うなど、一見本人と思う体裁を整えれば誰にでも可能な方法だ。実際にマルウェアのツールセットさえ持っていれば、組織内部に巣をはることも可能になってしまう。
対策
・自動応答メッセージを使う必要があるかどうかの判断基準を設ける。その人が抱える顧客数が少ない場合は、自動応答ではなく、事前にこちらから不在を知らせるメールを送ったり、電話をかけるなどして知らせれば良い。
・自分以外に担当者がいないと言う従業員が休む場合は、リダイレクトをするのも手だ。必ずしも便利ではないかもしれないが、重要なメッセージを確実に受け取ることができる。
・2種類の自動応答メッセージを作成する。1つは内部用、もう1つは外部用。詳細な情報や指示は同僚のみにして、外部の人には最低限の情報のみを伝える。
・業務で同僚としかやりとりしない場合、社外向けのメールで自動応答は使わない。
・従業員に自動応答メッセージのリスクを伝え、余計な情報を含まないメッセージにしてもらう。製品や顧客などの名前、同僚の電話番号やメールアドレス、いつ休暇から戻るのかなどの情報については、本当に必要かどうかを考える。
・メールサーバー側では、スパムやフィッシング攻撃を自動検知できるセキュリティソリューションを導入し、添付ファイルのスキャンも徹底する。
Gmailの場合、[設定]の[全般]の不在通知の欄。ON/OFF、連絡先に登録されているユーザーにのみ返信、組織内ユーザーのみへの返信とシンプルなボタンが並んでいるが、シンプルに見えるこの不在通知のチェックがとても重要であることを教えてくれている。