マイナンバー・ICTが拓くセキュアで豊かな社会

山口 利恵

第8回 カフェ発 こんな事なのに攻撃を受けるの? 思わぬ隙を突く標的型攻撃

NEWICT

2019.04.26

意図せずに個人情報を組み込んでしまう可能性

「ちょっといいかな。」

 お店の奥の方で本を読んでいたはずの竹見が声をかけた。

「就職担当、って今は、キャリアデザイン担当とかっていう名前に変わったんじゃなかったっけ? 僕、平林先生っていう人を知らないから、新しい先生だと思うんだけど、僕が退職するときには、既に就職担当っていう名前から、そのこじゃれた名前に変わってた気がするよ。」

 竹見は、帝都大学を数年前に定年退職しており、学内事情に明るい人だった。

「サトさん、その平林っていう名前、本当に帝都大学の先生かどうか確認してみたらどうかなぁ。」

 早速、サトは自分のスマホで検索をはじめた。

「う~ん… え? 見つからない。平本先生や梅林先生はいるみたいなんだけど。」

 サトは、何度もスマホで入力を繰り返しているようだが、発見できないようだった。

「帝都大学は、割とHPの更新をマメにしている方だから、新任の先生だとしても半年も放置するのは変じゃないかな。それに、この時期に採用されたとしても、いきなり就職関連の役職についた上に、学生にメールを出すようなことは考えられないなぁ。」

 竹見はカウンターにうつってくると、サトの横に座った。

「サトさん、さっきのメール、差出人はどうなっている?」

「差出人のメールアドレスですね。あ、フリーメールだ。大学じゃない。」

「大学側から学生にメールを出すときは、普通、大学のアドレスから出すんじゃないかな。そのメール怪しいね。」

「え? 偽物なんですか?」

 話を横で聞いていた絵美は、手をとめて竹見に聞いた。サトは、ビックリした表情で、クリームソーダにささっているストローに口をつけると、一口飲んだ。

「私に偽のメールなんて出して、何になるんだろう。」

「とりあえず、そのメール、ちょっと見せて。」

 サトは竹見にスマホを差し出した。そのメールの中にはサトの学籍番号やインターン先についても詳しく載っており、確かにこちらの事情に明るい人のようだった。

「ふむ。これはなかなかよくできてるなぁ。」

 竹見はつぶやいた。

 興味津々の絵美は、カウンターから身を乗り出して、スマホを覗いた。読み終わると、加藤にも回した。

「私もこのメールだと本物だと思っちゃいそう。大学からのメールって、知らない人から来ることもよくあるし。」

 絵美は、身を乗り出していたカウンターから身を下げると、つぶやきながら考え込んでいた。

「でも、なんでこんなメールが来たのかなぁ。かなり具体的なメールよね。サトのことをよく知っていそうな気もするし。インターンをしていることの他に、学籍番号までわかっているなんて。」

「サトさん、学籍番号がわかるようなこと、どこかに書いたりしている?」

 横で話を聞いていた加藤が尋ねた。

「うーん、どうだろう。学籍番号ってあんまり表に出さないからなぁ。インターン先に書類を出したときも、別に学籍番号なんて書かなかったし。」

「どこかのHPとかに学生証の写真とか、書き込んだりしてない?」

 絵美も聞いてみた。

「いや、そんなことはしてないと思うけど…学生証の写真なんてHPに書きようがないし。」

「そうか…もしかして、SNSとかに出したことない?」

 サトがSNSやっていることを知っていた絵美が聞いてみる。

「いやぁ、SNSもやってるけど、学籍番号を出すような機会はなかったような。」

「そのSNSはいつ始めたのかな?」

 横で聞いていた竹見が尋ねた。

「大学に入ってメールアドレスをもらったときに、その時そばにいた人とつくったんだ。」

「登録のメールアドレスは?」

「もちろん、大学のアドレスです。」

 竹見は、やはり、という顔をした。

「それだと、学籍番号は、想像がつくかもしれないねぇ。」

「え?」

「え?」

 サトと絵美がいっせいに竹見の方を向いた。

「帝都大学の場合、メールアドレスに学籍番号が含まれてるからかなぁ(*)。確か、そのSNSはメールアドレスからアカウント名つくるやつだろう。」

「そういえば。アカウント名から学籍番号を推察できるかも。」

 絵美が頷いた。

「でもなんで、私にこういうメールがくるの? この前も攻撃されたりしたし。」

 サトは、だいぶ前にパスワードリスト攻撃によってパスワードを抜かれ、不正なことに利用されかかってしまったことがあった。そのため、今回のことにも不満が残っていた。

「まあまあ。今回は今ここで気がついたんだから、まだ被害は出ていないよ。」

 竹見がサトを励ました。

「サトさんのSNSページには、大学名等も出ているからねぇ。」

 竹見が説明をはじめた。

メールの添付ファイルにウイルスが

「今回の経緯は、おそらくだが、そのインターン先の会社の紹介ページに、サトさんの名前と今回所属している部署が載っただろう。その部署の情報を欲しがる攻撃者が、調べたんだろうねぇ。大学名と写真が同じだから、同一人物と判断して、今回のことに繫がったんじゃないかなぁ。」

「でも、私インターンですから、それほど重要な仕事してないですよ? まだまだだな、って感じましたし。」

 サトは、少しトーンを低くして抗議した。

「あぁ、もちろん、サトさん自身から何かの情報を手に入れようとはあんまり思っていないよ。これはねぇ、標的型攻撃(**)と言われている攻撃だと思うんだ。簡単にいうと、サトさんから上司の人にメールがいって、その人のコンピュータに攻撃者とその上司をつなぐ専用の道がつくられてしまって、そこからデータを抜かれることに繫がるってこと。おそらく上司は、それなりの機密情報を持っているだろうしね。」

 竹見は淡々と説明した。

「そんなことが…」

 サトは驚きながら答えた。

「この推測、本当かどうかわからないので、一応確認してみたいんだが。そのメールを知り合いに解析してもらおうと思うけど、いいかね。」

「もちろんです。」

 サトはそう答えると、自身のスマホを渡した。竹見は、そのメールを自分自身に転送し、「結果がわかったら報告するよ。」と言い、カフェを出て行った。

 後日、竹見が結果をサトに説明した。竹見が知り合いの専門家に解析を頼んだところ、メールの添付ファイルにコンピュータウイルスが仕込まれていることがわかった。それを聞いた絵美は、しみじみ、つぶやいた。「難しいですね…私もあの状況だったら、転送してたと思います。」

「そうだねぇ。ああいう標的型メール(***)は、数年前は明らかに変なメールが多かったのだけど、最近のメールはよくできているよ。いくら気をつけていてもなかなか難しいだろうねぇ。」

 竹見は、コーヒーに口をつけながら話した。

「でも、ここで話して良かったです。一応、インターン先でもこの話をしたんですよ。そしたら、インターンの広報の仕方を見直すって言ってました。」

 サトが明るく言った。事前に気がつくことができたことで、インターン先での評価が高まったらしい。

「まぁ、今回は被害がなかったしね。そもそも、知らない人のメールを信じない、っていうのが基本かもなぁ。」

 竹見が考え込みながら言った。

*推測可能な個人情報
学籍番号には、学部・学科・入学年度という情報が入っていることがあります。知っている人が見れば、名前が50音のどのあたりかは見当がついてしまうことさえあります。また、SNS等で使うとリスクがあります。学籍番号だけでなく、社員番号などの組織内で使う番号についても外との通信に使うことに対して、リスクを認識して利用しましょう。

**標的型攻撃
標的型攻撃とは、特定の組織が持つ情報などを狙って行われるサイバー攻撃の一種です。攻撃の手法は様々ありますが、特定の相手を狙ったメールから、ウィルスつきのメールだったり、あるウェブサイトへの誘導をして、不正プログラムを送り込むことが増えています。標的型の対象とされる組織としては、政府系の官公庁や製造業が多く、価値の高い知的財産を保有している会社を狙うことが多いのでしょう。

***標的型メール
標的型メールとは、攻撃者がある攻撃先と決めた人にウィルスやマルウェアなどの不正プログラムを送りつけ、その不正プログラムを起点に攻撃を行うために最初に送るEメールです。メールの受取手専用に文面が書かれていることもあり、攻撃者にとって手間が多いのですが、最近被害が拡大しています。パソコンに詳しい人でも簡単には見分けがつかず、なかなか発見されにくい問題です。

この記事をシェアする

住民からの素朴な疑問に答えるマイナンバー制度想定問答集

マイナンバーマガジン 月刊 自治体ソリューション2016年11月号

2016/11 発売

ご購入はこちら

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

関連記事

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

山口 利恵

山口 利恵

東京大学大学院情報理工学系研究科ソーシャルICT研究センター特任准教授

2003年津田塾大学理学研究科数学専攻修士課程修了。2006年東京大学大学院情報理工学系研究科博士後期課程修了 博士(情報理工学)、独立行政法人 産業技術総合研究所 研究員。内閣官房情報セキリュティセンター員兼務を経て2013年から現職。主な研究テーマである「ライフスタイル認証・解析」に関する各種講演やセミナーの登壇者として、また、「Society5.0を見据えた個人認証基盤のあり方懇談会」構成員を務めるなど、多方面で活躍中。

閉じる