感染を拡大する「スプレッダー」となってしまう

Emotetに感染すると、周囲の人に感染を拡大する「スプレッダー」となってしまううえ、情報を盗み出されたり他のマルウエアを呼び寄せてしまう。

SEに力を入れている国の1つが中国だ。18年、米国司法省は、米国企業にサイバー攻撃を仕掛け、航空機のエンジンに関する機密情報を盗もうとした疑いで中国国家安全部の職員2人とハッカーら8人を起訴した。国家安全部の職員は企業内部で働く中国人を協力者に仕立て、ハッカーに開発させたマルウエアをUSBメモリを使って社内に展開させた。中国はSNSで採用活動や研究支援を装ってターゲットに連絡を取り、仕事や資金提供の代償として機密情報の提供などを強いるという。ターゲットの約70%が民間人だ。

このようにサイバー攻撃者はメールやSNSを使ってあなたに接触してくる。そして、SEを使って情報を盗み出したり、内部の者にマルウエアを実行させたりする。

日本では、コインチェックがSEから不正アクセスに遭い、580億円相当の暗号通貨NEMを失った。朝日新聞によると、攻撃者は暗号通貨イベントの参加者を装って社員に近づき、半年にわたって交流。メールのほかに電話でのやり取りもしていたというから、相当手が込んでいたといえる。すっかり信用させたところで正当なソフトウエアを装ってマルウエアのリンクを送り付け、社内でダウンロードさせた。こうして攻撃者はNEMを盗み出すために必要な「秘密鍵」を入手したのだ。

サイバーセキュリティ会社のプルーフポイント社は、サイバー攻撃が、システムを標的とするのではなく、SEによって、適切な権限を持つ人物(Right People)を狙う、「人中心(People-centered)」に移行していると分析する。

攻撃者は、攻撃を実行に移す前に、インターネットを使って標的となる人物を探す。SNSや会社の広報サイト、研究報告書などで名前やメールアドレス、勤務先・業務内容、趣味、友人関係など多くの情報を公開している人ほどSEは成功しやすい。そのため、経営層など高い地位にある人物が標的になるとは限らず、インターネットで多くの情報を公開している攻撃しやすい人物(Very Attacked People)を臨機応変に標的とする。

つまり、サイバー攻撃は組織ではなく「あなた」を標的に行われる。管理職はもちろん一般社員も同様に狙われている。「私は重要な役職じゃないから大丈夫」ということは全くないのだ。