無防備

　「下手をすれば子供でも情報を盗むウイルスを作れる状態。このサイバー犯罪に無防備な危険な環境で、いつ攻撃を仕掛けられてもおかしくはない」

　ネットセキュリティーの専門家は、こう警戒を呼びかける。

　事実、標的型メールのサイバー攻撃は近年急増している。

　年金機構に続き東京商工会議所も６月１０日、事務職員が使用しているパソコンが、標的型メールを開封してウイルス感染していたと発表した。１万２１３９人分の個人情報が流出した恐れがあるとしている。

　独立行政法人・情報処理推進機構（ＩＰＡ）によると、平成２６年度中に国内の企業や団体のパソコンへの送付が確認された標的型メールは５０５件で、２４年度の約２・５倍に上った。

　ＩＰＡの担当者は「件数の増加だけでなく、メールの文章に受け手しか知らない業務内容を入れて信用させるなど手口の巧妙化も進んでいる」と話す。

　背景に、業界内のセミナーに侵入して、名刺を不正に集めて個人の業務内容やメールアドレスなどの情報を売買するブローカーの存在が指摘されており、標的になる個人情報も攻撃者に入手されている危険性も大きくなっている。

　抜き打ち訓練サービス

　一方、標的型メールを開封しない人材を育成するため抜き打ち訓練を提供するサービスも登場している。

　ＩＴ会社「神戸デジタル・ラボ（ＫＤＬ）」（神戸市）は２５年８月、訓練用の標的型メールを企業・自治体の社員や職員らに抜き打ちで送る有料サービスを開始した。

　ＫＤＬは依頼者である経営者らの情報を参考に、社員らを惑わす業務を装ったメールのタイトルや本文などを作成。匿名性の高いフリーメールアドレスを用い、文書ファイルを添付するなどして一斉送信する“本番”さながらのサイバー攻撃を再現する。

　その後、ＫＤＬがファイルの開封率などを部署・役職ごとに数値化して傾向を分析。開封した社員にはウイルスが仕掛けられたメールを見破る対策を教えるプランもある。ＫＤＬによると、同じ企業に複数回、訓練を行ったことで開封率を大幅に下げた実績があるという。

　価格は１００人に対する１回の送信で２９万１６００円と安くはないが、年間約５０の企業・自治体が訓練を受けている。ＫＤＬ担当者は「サービスの開始当初は大手企業の依頼が目立ったが、中堅企業の問い合わせも増えている」と話す。

　対策の格差も

　ただ、訓練を繰り返してもウイルス感染を完全に防ぎきれるとは限らない。開封率を下げても、たった１人が標的型メールにだまされてしまえば感染は止められないからだ。

　神奈川県藤沢市では昨年１月、市の各課のＩＴ担当職員計１６０人に対し疑似の標的型メールを送信する抜き打ち訓練を実施した。メールには「情報セキュリティー研修会への参加のお礼」というタイトルが付けられ、研修会で配布した資料をダウンロードできるとする（ＵＲＬ）が表記されていた。

　研修会そのものが実在しなかったにもかかわらず、１６０人のうち６０人余りがＵＲＬをクリック。大半の職員は考えもなしにクリックしたわけではなく、迷った末、業務上チェックした方がよい情報だと判断してしまっていた。

　同市ＩＴ推進課は「メールの開封を減らせたとしても、ゼロにすることは難しい。職員のパソコンがウイルスに感染しても被害が広がらない対策を進める必要がある」と強調する。

　このため同市では職員がメールやネットを使用する端末と、市民の個人情報を扱う端末とを分離させ、情報流出を防ぐ対策を徹底。今後は、セキュリティー対策ソフトの更新などを進めるほか、個人情報を含めた情報全ての暗号化も検討する。

　ただ、ある自治体関係者は「藤沢市のように対策が充実した企業や自治体はまだ多くはなく、対策の格差が広がっている」と指摘する。

　事実、年金機構は最初のウイルス感染を確認した時点で全パソコンをネットから遮断しなかったなど対応の甘さが露呈しており、サイバー攻撃への危機意識が低い企業、自治体、団体などは致命的な事態を招きかねないのだ。