ここ1週間ほどで随分と暖かくなってきましたね。
総務部の佐藤です。

昨日、3月8日に大塚商会様が主催する「SolidWorks Solution Seminar in ATSUGI」に参加してきました。
昨今話題の企業ネットワークに対する「標的型攻撃」や「なりすまし」被害について受講することが主要な目的です。

【Ｑ】　ネットワークのセキュリティが大事ってよく言われてるけど、結局なにがどうなっちゃうのよ？（昨日までの私）
【Ａ】　なんらかの方法によって一度社内のネットワークに侵入を許すと、ネットワークを経由するあらゆる社内情報を盗まれてしまい、盗まれた情報をもとに自社に「なりすまし」をされてしまう！（今日からの私）

最近は小さな会社であっても、PC・プリンター・FAX・電話などあらゆるOA機器をIPネットワークで繋げていると思います。
IPネットワークに繋げているOA機器で流す情報は全てデジタルデータで行ったり来たりされているわけで、ネットワークへ侵入されてしまうと、すべてまるっとお見通しというわけです。

具体的には、
【被害①】　メールを送れば「いつだれが誰にどのような内容のメールを送ったのか」が盗まれ、
【被害②】　電話をすれば相手の電話番号だけでなく会話の音声ファイルを盗聴される。
【被害③～】　プリンターを使えばプリントアウトやコピーの情報、ＦＡＸもまたしかり。

問題は、これがまた随分と簡単にできるってことなんです。
ツールはネット上のそこかしこに転がっていて、ちょっとした知識で新種・亜種を作成してばらまくことが可能。
ウィルスとして仕込む際にも、偽装方法が洗練されているので感染させることは簡単なのです。
※　実際見て思いましたが、私でも多少勉強すればセキュリティレベルの低い会社の無知な社員なら仕込めると思いました。

上図は株式会社ネットワールド様ウェブサイトより抜粋（http://www.networld.co.jp/handreamnet/pro03.htm）

「全ての通信が丸見え状態」くらいの理解でいいかと思いますが、より恐ろしいのはその二次的被害です。
どのＰＣにも色々なアプリやサイトのログインＩＤとパスワードが記録されているのですが、当然それも侵入者に筒抜け状態なのです。
つまりは・・・
【二次被害その①】　自分のアカウント使って勝手にメールを送信されるかもれいないし
【二次被害その②】　社内のアプリやウェブサイトに勝手にログインされて操作されるかもしれない
【二次被害その③】　社内ＰＣからネット通販でクレジットカードの情報を記入していたとしたら・・・
とまあぱっと思いつくだけでこれだけの被害が発生してしまうということです。

「標的型攻撃」であれば、まあほとんどの会社・その社員からしたら「うちはそんな大層なもんの標的になるような会社じゃないよ」などと思われるんでしょうが、悪さをする連中からしたら「そういうチョロいやつらを踏み台すれば、セキュリティの高い会社にも侵入できるぜ、ｳﾋﾋ」といったところでしょう。
防犯意識の高い人でも名刺交換をした取引先の人から来たメールの添付ファイルなら思わず開いちゃいますよね？
でもそのメールって「なりすまし」の可能性もあるんですよ！

この業界はネットワーク以前に情報保全自体の意識がまだまだ低いのかなというのが実感なのですが
どんな業界の人からも企業として恥ずかしくない体制を構築していこうと気持ちを新たにしました。

総務部の佐藤でした。